SourceCodester Apartment Visitor Management System 1.0 index.php username sql-инъекция

ВходИсторияДиффjsonxmlCTI

Уязвимость была найдена в SourceCodester Apartment Visitor Management System 1.0. Она была объявлена как критический. Затронута неизвестная функция файла index.php. Определение CWE для уязвимости следующее CWE-89. Консультация представлена на сайте github.com. Эта уязвимость однозначно идентифицируется как CVE-2022-2677. Атака может быть осуществлена удаленно. Имеются технические подробности. Более того, существует эксплойт. Эксплойт был раскрыт общественности и может быть использован. Текущая цена за эксплойт может составлять около USD $0-$5k в настоящее время. Проект MITRE ATT&CK использует технику атаки T1505 для этой проблемы. Объявляется proof-of-concept. Эксплойт доступен для загрузки на сайте github.com. Мы ожидаем, что 0-день стоил приблизительно $0-$5k.

Поле	05.08.2022 20:46	30.08.2022 15:20
vendor	SourceCodester	SourceCodester
name	Apartment Visitor Management System	Apartment Visitor Management System
version	1.0	1.0
file	index.php	index.php
argument	username	username
cwe	89 (sql-инъекция)	89 (sql-инъекция)
risk	2	2
cvss3_vuldb_av	N	N
cvss3_vuldb_ac	L	L
cvss3_vuldb_ui	N	N
cvss3_vuldb_s	U	U
cvss3_vuldb_c	L	L
cvss3_vuldb_i	L	L
cvss3_vuldb_a	L	L
cvss3_vuldb_e	P	P
cvss3_vuldb_rc	R	R
url	https://github.com/anx0ing/CVE_demo/blob/main/2022/Apartment%20Visitor%20Management%20System-SQL%20injections.md	https://github.com/anx0ing/CVE_demo/blob/main/2022/Apartment%20Visitor%20Management%20System-SQL%20injections.md
availability	1	1
publicity	1	1
url	https://github.com/anx0ing/CVE_demo/blob/main/2022/Apartment%20Visitor%20Management%20System-SQL%20injections.md	https://github.com/anx0ing/CVE_demo/blob/main/2022/Apartment%20Visitor%20Management%20System-SQL%20injections.md
cve	CVE-2022-2677	CVE-2022-2677
responsible	VulDB	VulDB
date	1659650400 (05.08.2022)	1659650400 (05.08.2022)
cvss2_vuldb_av	N	N
cvss2_vuldb_ac	L	L
cvss2_vuldb_ci	P	P
cvss2_vuldb_ii	P	P
cvss2_vuldb_ai	P	P
cvss2_vuldb_e	POC	POC
cvss2_vuldb_rc	UR	UR
cvss2_vuldb_au	S	S
cvss2_vuldb_rl	ND	ND
cvss3_vuldb_pr	L	L
cvss3_vuldb_rl	X	X
cvss2_vuldb_basescore	6.5	6.5
cvss2_vuldb_tempscore	5.6	5.6
cvss3_vuldb_basescore	6.3	6.3
cvss3_vuldb_tempscore	5.7	5.7
cvss3_meta_basescore	6.3	6.3
cvss3_meta_tempscore	5.7	5.7
price_0day	$0-$5k	$0-$5k
input_value	' AND (SELECT 4955 FROM (SELECT(SLEEP(5)))RSzF) AND 'htiy'='htiy	' AND (SELECT 4955 FROM (SELECT(SLEEP(5)))RSzF) AND 'htiy'='htiy
cve_assigned		1659650400 (05.08.2022)
cve_nvd_summary		A vulnerability was found in SourceCodester Apartment Visitor Management System 1.0. It has been classified as critical. This affects an unknown part of the file index.php. The manipulation of the argument username with the input ' AND (SELECT 4955 FROM (SELECT(SLEEP(5)))RSzF) AND 'htiy'='htiy leads to sql injection. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-205665 was assigned to this vulnerability.

◂ Предыдущий Обзор Далее ▸

Want to stay up to date on a daily basis?

Enable the mail alert feature now!