SourceCodester Web-Based Student Clearance System 1.0 Photo edit-photo.php privilege escalation

W SourceCodester Web-Based Student Clearance System 1.0 została odkryta podatność. Podatnością dotknięta jest nieznana funkcja w pliku edit-photo.php w komponencie Photo Handler. Poprzez manipulowanie przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności przekroczenie uprawnień. Błąd został odkryty w dniu 2022-09-10. Raport na temat podatności został udostępniony pod adresem medium.com. Producent nie był zaangażowany w koordynację procesu publikacji. Podatność ta posiada unikalny identyfikator CVE-2022-3436. Atak może zostać zainicjowany zdalnie. Techniczne szczegóły są znane. Uważa się go za proof-of-concept. Exploit można ściągnąć pod adresem packetstormsecurity.com. Podatność ta była wykorzystywana w exploicie typu 0-day przez co najmniej 29 dni. Potencjalne zabezpieczenie zostało opublikowane jeszcze przed po ujawnieniu podatności.

Pole2022-10-09 14:372022-10-11 10:302022-10-31 14:15
vendorSourceCodesterSourceCodesterSourceCodester
nameWeb-Based Student Clearance SystemWeb-Based Student Clearance SystemWeb-Based Student Clearance System
version1.01.01.0
componentPhoto HandlerPhoto HandlerPhoto Handler
fileedit-photo.phpedit-photo.phpedit-photo.php
cwe434 (przekroczenie uprawnień)434 (przekroczenie uprawnień)434 (przekroczenie uprawnień)
risk222
cvss3_vuldb_avNNN
cvss3_vuldb_acLLL
cvss3_vuldb_prLLL
cvss3_vuldb_uiNNN
cvss3_vuldb_sUUU
cvss3_vuldb_cLLL
cvss3_vuldb_iLLL
cvss3_vuldb_aLLL
cveCVE-2022-3436CVE-2022-3436CVE-2022-3436
responsibleVulDBVulDBVulDB
date1665266400 (2022-10-09)1665266400 (2022-10-09)1665266400 (2022-10-09)
cvss2_vuldb_avNNN
cvss2_vuldb_acLLL
cvss2_vuldb_ciPPP
cvss2_vuldb_iiPPP
cvss2_vuldb_aiPPP
cvss2_vuldb_auSSS
cvss2_vuldb_eNDNDND
cvss2_vuldb_rlNDNDND
cvss2_vuldb_rcNDNDND
cvss3_vuldb_eXXX
cvss3_vuldb_rlXXX
cvss3_vuldb_rcXXX
cvss2_vuldb_basescore6.56.56.5
cvss2_vuldb_tempscore6.56.56.5
cvss3_vuldb_basescore6.36.36.3
cvss3_vuldb_tempscore6.36.36.3
cvss3_meta_basescore6.36.36.3
cvss3_meta_tempscore6.36.36.3
price_0day$0-$5k$0-$5k$0-$5k
person_nameAkash PandeyAkash PandeyAkash Pandey
person_nicknamel3v1ath0nl3v1ath0nl3v1ath0n
person_mailakashpandey380@*****.***akashpandey380@*****.***akashpandey380@*****.***
person_websitehttps://github.com/1337-L3V1ATH0Nhttps://github.com/1337-L3V1ATH0Nhttps://github.com/1337-L3V1ATH0N
typeBlog PostBlog PostBlog Post
urlhttps://medium.com/@akashpandey380/web-based-student-clearance-v1-0-e2548d35188bhttps://medium.com/@akashpandey380/web-based-student-clearance-v1-0-e2548d35188bhttps://medium.com/@akashpandey380/web-based-student-clearance-v1-0-e2548d35188b
urlhttps://medium.com/@akashpandey380/web-based-student-clearance-v1-0-e2548d35188bhttps://packetstormsecurity.com/files/168667/Web-Based-Student-Clearance-1.0-Shell-Upload.htmlhttps://packetstormsecurity.com/files/168667/Web-Based-Student-Clearance-1.0-Shell-Upload.html
locationMediumMediumMedium
coordination000
googlehackinurl:edit-photo.phpinurl:edit-photo.phpinurl:edit-photo.php
discoverydate166276080016627608001662760800
publicity11
availability11
cve_nvd_summaryA vulnerability classified as critical was found in SourceCodester Web-Based Student Clearance System 1.0. Affected by this vulnerability is an unknown functionality of the file edit-photo.php of the component Photo Handler. The manipulation leads to unrestricted upload. The attack can be launched remotely. The associated identifier of this vulnerability is VDB-210367.

Interested in the pricing of exploits?

See the underground prices here!