SourceCodester Online Computer and Laptop Store 1.0 Subcategory Master.php?f=save_sub_category SQL Injection

Eine kritische Schwachstelle wurde in SourceCodester Online Computer and Laptop Store 1.0 entdeckt. Hierbei geht es um eine nicht exakt ausgemachte Funktion der Datei /classes/Master.php?f=save_sub_category der Komponente Subcategory Handler. Durch das Beeinflussen des Arguments sub_category mit unbekannten Daten kann eine SQL Injection-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-89. Der Fehler wurde am 08.04.2023 veröffentlicht. Das Advisory kann von github.com heruntergeladen werden. Die Identifikation der Schwachstelle findet als CVE-2023-1957 statt. Umgesetzt werden kann der Angriff über das Netzwerk. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1505. Er gilt als proof-of-concept. Der Exploit kann von github.com heruntergeladen werden. Während seiner Zeit als 0-Day erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt.

3 Anpassungen · 72 Datenpunkte