SourceCodester Online Courseware 1.0 admin/listscore.php title sql-инъекция

ВходИсторияrelatejsonxmlCTI

Уязвимость, классифицированная как критический, была найдена в SourceCodester Online Courseware 1.0. Затронута неизвестная функция файла admin/listscore.php. Использование CWE для объявления проблемы приводит к тому, что CWE-89. Консультация доступна для скачивания по адресу github.com. Эта уязвимость продается как CVE-2024-3424. Атаку можно осуществить удаленно. Имеются технические подробности. Более того, существует эксплойт. Эксплойт был раскрыт общественности и может быть использован. Текущая цена за эксплойт может составлять около USD $0-$5k в настоящее время. Проект MITRE ATT&CK объявляет технику атаки как T1505. Объявляется proof-of-concept. Эксплойт доступен для загрузки на сайте github.com. В 0-дневный период предполагаемая подземная цена составляла около $0-$5k.

4 Изменения · 95 Точки данных

Поле	Создано 06.04.2024 13:07	Update 1/3 10.05.2024 12:09	Update 2/3 10.05.2024 12:16	Update 3/3 17.01.2025 18:55
software_vendor	SourceCodester	SourceCodester	SourceCodester	SourceCodester
software_name	Online Courseware	Online Courseware	Online Courseware	Online Courseware
software_version	1.0	1.0	1.0	1.0
software_file	admin/listscore.php	admin/listscore.php	admin/listscore.php	admin/listscore.php
software_argument	title	title	title	title
vulnerability_cwe	CWE-89 (sql-инъекция)	CWE-89 (sql-инъекция)	CWE-89 (sql-инъекция)	CWE-89 (sql-инъекция)
vulnerability_risk	2	2	2	2
cvss3_vuldb_av	N	N	N	N
cvss3_vuldb_ac	L	L	L	L
cvss3_vuldb_ui	N	N	N	N
cvss3_vuldb_s	U	U	U	U
cvss3_vuldb_c	L	L	L	L
cvss3_vuldb_i	L	L	L	L
cvss3_vuldb_a	L	L	L	L
cvss3_vuldb_e	P	P	P	P
cvss3_vuldb_rc	R	R	R	R
advisory_url	https://github.com/thisissuperann/Vul/blob/Online-Courseware/Online-Courseware-09.md	https://github.com/thisissuperann/Vul/blob/Online-Courseware/Online-Courseware-09.md	https://github.com/thisissuperann/Vul/blob/Online-Courseware/Online-Courseware-09.md	https://github.com/thisissuperann/Vul/blob/Online-Courseware/Online-Courseware-09.md
exploit_availability	1	1	1	1
exploit_publicity	1	1	1	1
exploit_url	https://github.com/thisissuperann/Vul/blob/Online-Courseware/Online-Courseware-09.md	https://github.com/thisissuperann/Vul/blob/Online-Courseware/Online-Courseware-09.md	https://github.com/thisissuperann/Vul/blob/Online-Courseware/Online-Courseware-09.md	https://github.com/thisissuperann/Vul/blob/Online-Courseware/Online-Courseware-09.md
source_cve	CVE-2024-3424	CVE-2024-3424	CVE-2024-3424	CVE-2024-3424
cna_responsible	VulDB	VulDB	VulDB	VulDB
advisory_date	1712354400 (06.04.2024)	1712354400 (06.04.2024)	1712354400 (06.04.2024)	1712354400 (06.04.2024)
cvss2_vuldb_av	N	N	N	N
cvss2_vuldb_ac	L	L	L	L
cvss2_vuldb_ci	P	P	P	P
cvss2_vuldb_ii	P	P	P	P
cvss2_vuldb_ai	P	P	P	P
cvss2_vuldb_e	POC	POC	POC	POC
cvss2_vuldb_rc	UR	UR	UR	UR
cvss4_vuldb_av	N	N	N	N
cvss4_vuldb_ac	L	L	L	L
cvss4_vuldb_ui	N	N	N	N
cvss4_vuldb_vc	L	L	L	L
cvss4_vuldb_vi	L	L	L	L
cvss4_vuldb_va	L	L	L	L
cvss4_vuldb_e	P	P	P	P
cvss2_vuldb_au	S	S	S	S
cvss2_vuldb_rl	ND	ND	ND	ND
cvss3_vuldb_pr	L	L	L	L
cvss3_vuldb_rl	X	X	X	X
cvss4_vuldb_at	N	N	N	N
cvss4_vuldb_pr	L	L	L	L
cvss4_vuldb_sc	N	N	N	N
cvss4_vuldb_si	N	N	N	N
cvss4_vuldb_sa	N	N	N	N
cvss2_vuldb_basescore	6.5	6.5	6.5	6.5
cvss2_vuldb_tempscore	5.6	5.6	5.6	5.6
cvss3_vuldb_basescore	6.3	6.3	6.3	6.3
cvss3_vuldb_tempscore	5.7	5.7	5.7	5.7
cvss3_meta_basescore	6.3	6.3	6.3	7.5
cvss3_meta_tempscore	5.7	5.7	6.0	7.3
cvss4_vuldb_bscore	5.3	5.3	5.3	5.3
cvss4_vuldb_btscore	2.1	2.1	2.1	2.1
price_0day	$0-$5k	$0-$5k	$0-$5k	$0-$5k
cve_assigned		1712354400 (06.04.2024)	1712354400 (06.04.2024)	1712354400 (06.04.2024)
cve_nvd_summary		A vulnerability classified as critical has been found in SourceCodester Online Courseware 1.0. Affected is an unknown function of the file admin/listscore.php. The manipulation of the argument title leads to sql injection. It is possible to launch the attack remotely. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-259596.	A vulnerability classified as critical has been found in SourceCodester Online Courseware 1.0. Affected is an unknown function of the file admin/listscore.php. The manipulation of the argument title leads to sql injection. It is possible to launch the attack remotely. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-259596.	A vulnerability classified as critical has been found in SourceCodester Online Courseware 1.0. Affected is an unknown function of the file admin/listscore.php. The manipulation of the argument title leads to sql injection. It is possible to launch the attack remotely. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-259596.
cvss2_nvd_av			N	N
cvss2_nvd_ac			L	L
cvss2_nvd_au			S	S
cvss2_nvd_ci			P	P
cvss2_nvd_ii			P	P
cvss2_nvd_ai			P	P
cvss3_cna_av			N	N
cvss3_cna_ac			L	L
cvss3_cna_pr			L	L
cvss3_cna_ui			N	N
cvss3_cna_s			U	U
cvss3_cna_c			L	L
cvss3_cna_i			L	L
cvss3_cna_a			L	L
cve_cna			VulDB	VulDB
cvss2_nvd_basescore			6.5	6.5
cvss3_cna_basescore			6.3	6.3
cvss3_nvd_a				H
cvss3_nvd_basescore				9.8
cvss2_cna_av				N
cvss2_cna_ac				L
cvss2_cna_au				S
cvss2_cna_ci				P
cvss2_cna_ii				P
cvss2_cna_ai				P
cvss2_cna_basescore				6.5
cve_nvd_summaryes				Una vulnerabilidad ha sido encontrada en SourceCodester Online Courseware 1.0 y clasificada como crítica. Una función desconocida del archivo admin/listscore.php es afectada por esta vulnerabilidad. La manipulación del título del argumento conduce a la inyección de SQL. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-259596.
cvss3_nvd_av				N
cvss3_nvd_ac				L
cvss3_nvd_pr				N
cvss3_nvd_ui				N
cvss3_nvd_s				U
cvss3_nvd_c				H
cvss3_nvd_i				H

◂ Предыдущий Обзор Далее ▸

Interested in the pricing of exploits?

See the underground prices here!