bony2023 Discussion-Board functions/main.php display_all_replies str SQL Injection
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.9 | $0-$5k | 0.00 |
Zusammenfassung
In bony2023 Discussion-Board wurde eine kritische Schwachstelle ausgemacht. Dabei betrifft es die Funktion display_all_replies der Datei functions/main.php. Durch das Manipulieren des Arguments str mit unbekannten Daten kann eine SQL Injection-Schwachstelle ausgenutzt werden.
Diese Schwachstelle trägt die Bezeichnung CVE-2015-10051. Es gibt keinen verfügbaren Exploit.
Es ist ratsam, einen Patch zu implementieren, um dieses Problem zu beheben.
Details
Eine kritische Schwachstelle wurde in bony2023 Discussion-Board - die betroffene Version ist nicht genau spezifiziert - (Forum Software) entdeckt. Betroffen davon ist die Funktion display_all_replies der Datei functions/main.php. Mittels Manipulieren des Arguments str mit einer unbekannten Eingabe kann eine SQL Injection-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-89. Wie sich eine durchgeführte Attacke auswirkt, ist soweit nicht bekannt.
Die Schwachstelle wurde am 14.01.2023 als 26439bc4c63632d63ba89ebc0f149b25a9010361 veröffentlicht. Auf github.com kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet als CVE-2015-10051 statt. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht. MITRE ATT&CK führt die Angriffstechnik T1505 für diese Schwachstelle.
Potentiell verwundbare Systeme können mit dem Google Dork inurl:functions/main.php gefunden werden.
Die Schwachstelle lässt sich durch das Einspielen des Patches 26439bc4c63632d63ba89ebc0f149b25a9010361 beheben. Dieser kann von github.com bezogen werden. Das Advisory stellt fest:
Added function to prevent SQL InjectionIf you want to get best quality of vulnerability data, you may have to visit VulDB.
Produkt
Typ
Hersteller
Name
Lizenz
Webseite
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.9VulDB Meta Temp Score: 6.9
VulDB Base Score: 5.5
VulDB Temp Score: 5.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 9.8
NVD Vector: 🔍
CNA Base Score: 5.5
CNA Vector (VulDB): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: SQL InjectionCWE: CWE-89 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
0-Day Time: 🔍
Patch: 26439bc4c63632d63ba89ebc0f149b25a9010361
Timeline
14.01.2023 🔍14.01.2023 🔍
14.01.2023 🔍
07.02.2023 🔍
Quellen
Produkt: github.comAdvisory: 26439bc4c63632d63ba89ebc0f149b25a9010361
Status: Bestätigt
CVE: CVE-2015-10051 (🔍)
GCVE (CVE): GCVE-0-2015-10051
GCVE (VulDB): GCVE-100-218378
Eintrag
Erstellt: 14.01.2023 18:24Aktualisierung: 07.02.2023 15:03
Anpassungen: 14.01.2023 18:24 (44), 07.02.2023 15:00 (2), 07.02.2023 15:03 (28)
Komplett: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.