🕵️ My Link Trader 1.1 /out.php id SQL Injection
Nachrichtenbereich: 🕵️ Sicherheitslücken
🔗 Quelle: vuldb.com
Es wurde eine kritische Schwachstelle in My Link Trader 1.1 ausgemacht. Es betrifft eine unbekannte Funktion der Datei /out.php. Durch das Manipulieren des Arguments id
mit einer unbekannten Eingabe kann eine SQL Injection-Schwachstelle ausgenutzt werden. Auswirkungen sind zu beobachten für Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 11.01.2017 durch Dawid Morawski als EDB-ID 41010 in Form eines ungeprüften Exploits (Exploit-DB) publik gemacht. Das Advisory kann von exploit-db.com heruntergeladen werden. Der Angriff kann über das Netzwerk erfolgen. Es sind sowohl technische Details als auch ein öffentlicher Exploit zur Schwachstelle bekannt.
Ein öffentlicher Exploit wurde durch Dawid Morawski in URL entwickelt und sofort nach dem Advisory veröffentlicht. Er wird als proof-of-concept gehandelt. Unter exploit-db.com wird der Exploit bereitgestellt.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
CVSSv3
Base Score: ≈6.3 [?]Temp Score: ≈5.7 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:P/RL:X/RC:R [?]
Zuverlässigkeit: Medium
CVSSv2
Base Score: ≈6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P) [?]Temp Score: ≈5.1 (CVSS2#E:POC/RL:ND/RC:UR) [?]
Zuverlässigkeit: Medium
CPE
Exploiting
Klasse: SQL InjectionLokal: Nein
Remote: Ja
Verfügbarkeit: Ja
Zugang: öffentlich
Status: Proof-of-Concept
Programmiersprache: URL
Autor: Dawid Morawski
Download: exploit-db.com
Preisentwicklung: gleichbleibend
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)
Exploit-DB: 41010
Gegenmassnahmen
Empfehlung: keine Massnahme bekannt0-Day Time: 0 Tage seit gefunden
Exploit Delay Time: 0 Tage seit bekannt
Timeline
11.01.2017 Advisory veröffentlicht11.01.2017 Exploit veröffentlicht
11.01.2017 EDB Eintrag veröffentlicht
11.01.2017 VulDB Eintrag erstellt
11.01.2017 VulDB letzte Aktualisierung
Quellen
Advisory: EDB-ID 41010Person: Dawid Morawski
Status: Ungeprüft
Eintrag
Erstellt: 11.01.2017Eintrag: 72.8% komplett
...