SourceCodester Simple E-Learning System 1.0 search.php classCode sql injection
Una vulnerabilità di livello critico è stata rilevata in SourceCodester Simple E-Learning System 1.0. Riguarda una funzione sconosciuta del file search.php. Mediante la manipolazione del parametro classCode del valore di input 1'||(SELECT 0x74666264 WHERE 5610=5610 AND (SELECT 7504 FROM(SELECT COUNT(*),CONCAT(0x7171627a71,(SELECT (ELT(7504=7504,1))),0x71717a7071,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.PLUGINS GROUP BY x)a))||'
di un input sconosciuto conseguenza di una vulerabilità di classe sql injection. L'advisory è scaricabile da github.com.
Questa vulnerabilità è identificata come CVE-2022-2490. L'attacco si effettua con la rete. I dettagli tecnici sono conosciuti.
È stato dichiarato come proof-of-concept. L'exploit è scaricabile da github.com.
Una possibile soluzione è stata pubblicata già prima e non dopo la pubblicazione della vulnerabilità.
Sequenza temporale
46 non vengono visualizzate più voci