KB Affiliate Referral Script 1.0 /index.php username/password SQLインジェクション

重大 として分類されている脆弱性が KB Affiliate Referral Script 1.0 内に見つかりました。 影響を受けるのは、ファイル【/index.php】に含まれる未知の関数です。 【username/password】引数を入力'or''='で改ざんすることが、 SQLインジェクションを突く攻撃に繋がります。 この脆弱性に対応するCWEの定義は CWE-89 です。 この脆弱性は 2017年01月26日に Ihsan Sencanより「Exploit-DB」の Exploitにて 「EDB-ID 41166」として 紹介されました。 アドバイザリーは exploit-db.com にてダウンロード用に公開されています。 この脆弱性は CVE-2017-20126 として扱われます。 攻撃はリモートで開始される可能性があります。 技術的詳細情報が入手可能です。 さらに、入手できるエクスプロイトツールが存在します。 エクスプロイトツールは一般に公開されており、悪用される可能性があります。 エクスプロイトツールの現在の価格はおそらく米ドルで約$0-$5kです。 MITRE ATT&CKプロジェクトは、攻撃手法を T1505 と定義しています。 このエクスプロイトツールは proof-of-concept として宣言されています。 エクスプロイトツールは exploit-db.com にダウンロードのために共有されています。 0dayにはおよそ $0-$5k の価値があったと予想しています。 】のプラグインを提供しています。 考えられる回避策が、前として脆弱性の公開後公表されました 。

タイムライン

ユーザー

158

フィールド

source_cve_nvd_summary2
vulnerability_cvss3_meta_tempscore2
vulnerability_cvss3_meta_basescore2
vulnerability_cvss3_cna_basescore1
vulnerability_cvss3_nvd_basescore1

Commit Conf

100%41
70%20
90%11
98%2

Approve Conf

100%41
70%20
90%11
98%2
IDコミット済みユーザーフィールド変更備考承諾済みステータスC
132507042022年11月11日VulD...cve_nvd_summaryA vulnerability was found in KB Affiliate Referral Script 1.0. It has been classified as critical. This affects an unknown part of the file /index.php. The manipulation of the argument username/password with the input 'or''=' leads to sql injection. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used.cvedetails.com2022年11月11日承諾済み
70
132507032022年11月11日VulD...cvss3_cna_basescore7.3see CVSS documentation2022年11月11日承諾済み
90
132507022022年11月11日VulD...cvss3_nvd_basescore9.8nist.gov2022年11月11日承諾済み
90
132507012022年11月11日VulD...cvss3_meta_tempscore8.0see CVSS documentation2022年11月11日承諾済み
90
132507002022年11月11日VulD...cvss3_meta_basescore8.1see CVSS documentation2022年11月11日承諾済み
90
132506992022年11月11日VulD...cve_cnaVulDBnvd.nist.gov2022年11月11日承諾済み
70
132506982022年11月11日VulD...cvss3_cna_aLnvd.nist.gov2022年11月11日承諾済み
70
132506972022年11月11日VulD...cvss3_cna_iLnvd.nist.gov2022年11月11日承諾済み
70
132506962022年11月11日VulD...cvss3_cna_cLnvd.nist.gov2022年11月11日承諾済み
70
132506952022年11月11日VulD...cvss3_cna_sUnvd.nist.gov2022年11月11日承諾済み
70
132506942022年11月11日VulD...cvss3_cna_uiNnvd.nist.gov2022年11月11日承諾済み
70
132506932022年11月11日VulD...cvss3_cna_prNnvd.nist.gov2022年11月11日承諾済み
70
132506922022年11月11日VulD...cvss3_cna_acLnvd.nist.gov2022年11月11日承諾済み
70
132506912022年11月11日VulD...cvss3_cna_avNnvd.nist.gov2022年11月11日承諾済み
70
132506902022年11月11日VulD...cvss3_nvd_aHnvd.nist.gov2022年11月11日承諾済み
70
132506892022年11月11日VulD...cvss3_nvd_iHnvd.nist.gov2022年11月11日承諾済み
70
132506882022年11月11日VulD...cvss3_nvd_cHnvd.nist.gov2022年11月11日承諾済み
70
132506872022年11月11日VulD...cvss3_nvd_sUnvd.nist.gov2022年11月11日承諾済み
70
132506862022年11月11日VulD...cvss3_nvd_uiNnvd.nist.gov2022年11月11日承諾済み
70
132506852022年11月11日VulD...cvss3_nvd_prNnvd.nist.gov2022年11月11日承諾済み
70

54 非表示のエントリあり

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!