SourceCodester Gadget Works Online Ordering System 1.0 Products controller.php filename 特権昇格

問題がある として分類されている脆弱性が SourceCodester Gadget Works Online Ordering System 1.0 内に見つかりました。 影響を受けるのは、コンポーネント【Products Handler】のファイル【admin/products/controller.php?action=add】に含まれる未知の関数です。 【filename】引数を未知の値で改ざんすることが、 特権昇格を突く攻撃に繋がります。 この脆弱性に対応するCWEの定義は CWE-434 です。 この脆弱性は 2023年03月16日ににて 紹介されました。 アドバイザリーは github.com にてダウンロード用に公開されています。 この脆弱性は CVE-2023-1433 として扱われます。 攻撃はリモートで開始される可能性があります。 技術的詳細情報が入手可能です。 さらに、入手できるエクスプロイトツールが存在します。 エクスプロイトツールは一般に公開されており、悪用される可能性があります。 エクスプロイトツールの現在の価格はおそらく米ドルで約$0-$5kです。 MITRE ATT&CKプロジェクトは、攻撃手法を T1608.002 と定義しています。 このエクスプロイトツールは proof-of-concept として宣言されています。 エクスプロイトツールは github.com にダウンロードのために共有されています。 0dayにはおよそ $0-$5k の価値があったと予想しています。 】のプラグインを提供しています。 考えられる回避策が、前として脆弱性の公開後公表されました 。

フィールド2023年03月16日 13:572023年04月08日 16:352023年04月08日 16:43
vendorSourceCodesterSourceCodesterSourceCodester
nameGadget Works Online Ordering SystemGadget Works Online Ordering SystemGadget Works Online Ordering System
version1.01.01.0
componentProducts HandlerProducts HandlerProducts Handler
fileadmin/products/controller.php?action=addadmin/products/controller.php?action=addadmin/products/controller.php?action=add
argumentfilenamefilenamefilename
cwe434 (特権昇格)434 (特権昇格)434 (特権昇格)
risk111
cvss3_vuldb_avNNN
cvss3_vuldb_acLLL
cvss3_vuldb_prHHH
cvss3_vuldb_uiNNN
cvss3_vuldb_sUUU
cvss3_vuldb_cLLL
cvss3_vuldb_iLLL
cvss3_vuldb_aLLL
cvss3_vuldb_ePPP
cvss3_vuldb_rcRRR
urlhttps://github.com/zhengjiashengbaba/bug_report/blob/main/UPLOAD.mdhttps://github.com/zhengjiashengbaba/bug_report/blob/main/UPLOAD.mdhttps://github.com/zhengjiashengbaba/bug_report/blob/main/UPLOAD.md
availability111
publicity111
urlhttps://github.com/zhengjiashengbaba/bug_report/blob/main/UPLOAD.mdhttps://github.com/zhengjiashengbaba/bug_report/blob/main/UPLOAD.mdhttps://github.com/zhengjiashengbaba/bug_report/blob/main/UPLOAD.md
cveCVE-2023-1433CVE-2023-1433CVE-2023-1433
responsibleVulDBVulDBVulDB
date1678921200 (2023年03月16日)1678921200 (2023年03月16日)1678921200 (2023年03月16日)
cvss2_vuldb_avNNN
cvss2_vuldb_acLLL
cvss2_vuldb_auMMM
cvss2_vuldb_ciPPP
cvss2_vuldb_iiPPP
cvss2_vuldb_aiPPP
cvss2_vuldb_ePOCPOCPOC
cvss2_vuldb_rcURURUR
cvss2_vuldb_rlNDNDND
cvss3_vuldb_rlXXX
cvss2_vuldb_basescore5.85.85.8
cvss2_vuldb_tempscore5.05.05.0
cvss3_vuldb_basescore4.74.74.7
cvss3_vuldb_tempscore4.34.34.3
cvss3_meta_basescore4.74.75.5
cvss3_meta_tempscore4.34.35.4
price_0day$0-$5k$0-$5k$0-$5k
cve_assigned1678921200 (2023年03月16日)1678921200 (2023年03月16日)
cve_nvd_summaryA vulnerability was found in SourceCodester Gadget Works Online Ordering System 1.0. It has been classified as problematic. This affects an unknown part of the file admin/products/controller.php?action=add of the component Products Handler. The manipulation of the argument filename leads to unrestricted upload. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-223215.A vulnerability was found in SourceCodester Gadget Works Online Ordering System 1.0. It has been classified as problematic. This affects an unknown part of the file admin/products/controller.php?action=add of the component Products Handler. The manipulation of the argument filename leads to unrestricted upload. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-223215.
cvss3_nvd_avN
cvss3_nvd_acL
cvss3_nvd_prH
cvss3_nvd_uiN
cvss3_nvd_sU
cvss3_nvd_cH
cvss3_nvd_iH
cvss3_nvd_aH
cvss2_nvd_avN
cvss2_nvd_acL
cvss2_nvd_auM
cvss2_nvd_ciP
cvss2_nvd_iiP
cvss2_nvd_aiP
cvss3_cna_avN
cvss3_cna_acL
cvss3_cna_prH
cvss3_cna_uiN
cvss3_cna_sU
cvss3_cna_cL
cvss3_cna_iL
cvss3_cna_aL
cve_cnaVulDB
cvss2_nvd_basescore5.8
cvss3_nvd_basescore7.2
cvss3_cna_basescore4.7

概要

Do you need the next level of professionalism?

Upgrade your account now!