SourceCodester Guest Management System front.php rid SQLインジェクション

エントリ履歴差分jsonxmlCTI

SourceCodester Guest Management System内に重大として分類された脆弱性が発見されました。この問題により影響を受けるのは、ファイル【/guestmanagement/front.php】に含まれる未知の機能です。【rid】引数を未知の値で改ざんすることが、 SQLインジェクションを突く攻撃に繋がります。この脆弱性に対応するCWEの定義は CWE-89 です。この脆弱性は 2022年08月16日ににて紹介されました。アドバイザリーは s1.ax1x.com から入手可能です。この脆弱性は CVE-2022-2847 として扱われます。攻撃はリモートで開始される場合があります。技術的詳細情報が入手可能です。さらに、入手できるエクスプロイトツールが存在します。エクスプロイトツールは一般に公開されており、悪用される可能性があります。現時点で、脆弱性の構成から考えられる取引価格帯を約$0-$5k米ドルと算出しました。この脆弱性は、MITRE ATT&CKプロジェクトによって T1505 に割り当てられました。このエクスプロイトツールは proof-of-concept として宣言されています。エクスプロイトツールは s1.ax1x.com から入手可能です。 0dayにはおよそ $0-$5k の価値があったと予想しています。】のプラグインを提供しています。考えられる回避策が、前として脆弱性の公開後公表されました。

フィールド	2022年08月16日 16:01	2022年09月17日 08:06
vendor	SourceCodester	SourceCodester
name	Guest Management System	Guest Management System
file	/guestmanagement/front.php	/guestmanagement/front.php
argument	rid	rid
cwe	89 (SQLインジェクション)	89 (SQLインジェクション)
risk	2	2
cvss3_vuldb_av	N	N
cvss3_vuldb_ac	L	L
cvss3_vuldb_ui	N	N
cvss3_vuldb_s	U	U
cvss3_vuldb_c	L	L
cvss3_vuldb_i	L	L
cvss3_vuldb_a	L	L
cvss3_vuldb_e	P	P
cvss3_vuldb_rc	R	R
url	https://s1.ax1x.com/2022/08/13/vtDZfe.png	https://s1.ax1x.com/2022/08/13/vtDZfe.png
availability	1	1
publicity	1	1
url	https://s1.ax1x.com/2022/08/13/vtDZfe.png	https://s1.ax1x.com/2022/08/13/vtDZfe.png
cve	CVE-2022-2847	CVE-2022-2847
responsible	VulDB	VulDB
date	1660600800 (2022年08月16日)	1660600800 (2022年08月16日)
cvss2_vuldb_av	N	N
cvss2_vuldb_ac	L	L
cvss2_vuldb_ci	P	P
cvss2_vuldb_ii	P	P
cvss2_vuldb_ai	P	P
cvss2_vuldb_e	POC	POC
cvss2_vuldb_rc	UR	UR
cvss2_vuldb_au	S	S
cvss2_vuldb_rl	ND	ND
cvss3_vuldb_pr	L	L
cvss3_vuldb_rl	X	X
cvss2_vuldb_basescore	6.5	6.5
cvss2_vuldb_tempscore	5.6	5.6
cvss3_vuldb_basescore	6.3	6.3
cvss3_vuldb_tempscore	5.7	5.7
cvss3_meta_basescore	6.3	6.3
cvss3_meta_tempscore	5.7	5.7
price_0day	$0-$5k	$0-$5k
cve_assigned		1660600800 (2022年08月16日)
cve_nvd_summary		A vulnerability, which was classified as critical, has been found in SourceCodester Guest Management System. This issue affects some unknown processing of the file /guestmanagement/front.php. The manipulation of the argument rid leads to sql injection. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-206489 was assigned to this vulnerability.

◂ 前概要次 ▸

Want to stay up to date on a daily basis?

Enable the mail alert feature now!