VDB-278164 · CVE-2024-9008 · GCVE-100-278164

SourceCodester Best Online News Portal 1.0 Comment Section /news-details.php Nom injection SQL

Il a été détecté une vulnérabilité classée critique dans SourceCodester Best Online News Portal 1.0. L'élément concerné est une fonction inconnue du fichier /news-details.php du composant Comment Section. L’utilisation de l’argument Nom aboutit à injection SQL. L'utilisation de CWE pour déclarer le problème conduit à CWE-89. Cette vulnérabilité a été rendue publique le 19/09/2024. L'avis peut être téléchargé depuis github.com. Cette faille est connue sous le nom CVE-2024-9008. L'attaque peut être menée à distance. Des details techniques sont connus. En outre, un exploit est accessible. L'exploit a été rendu public et pourrait être exploité. Actuellement, le prix d'un exploit pourrait avoisiner USD $0-$5k. D'après le projet MITRE ATT&CK, la technique d'attaque est T1505. Ceci est déclaré comme preuve de concept. Vous pouvez télécharger l'exploit sur github.com. Comme 0-day, le prix estimé sur le marché clandestin était autour de $0-$5k. Once again VulDB remains the best source for vulnerability data.

3 Changements · 86 Points de données

Champ	Créé 19/09/2024 18:07	Mise à jour 1/2 20/09/2024 12:46	Mise à jour 2/2 21/09/2024 15:48
cvss2_vuldb_e	POC	POC	POC
cvss2_vuldb_rc	UR	UR	UR
cvss4_vuldb_av	N	N	N
cvss4_vuldb_ac	L	L	L
cvss4_vuldb_ui	N	N	N
cvss4_vuldb_vc	L	L	L
cvss4_vuldb_vi	L	L	L
cvss4_vuldb_va	L	L	L
cvss4_vuldb_e	P	P	P
cvss2_vuldb_au	S	S	S
cvss2_vuldb_rl	ND	ND	ND
cvss3_vuldb_pr	L	L	L
cvss3_vuldb_rl	X	X	X
cvss4_vuldb_at	N	N	N
cvss4_vuldb_pr	L	L	L
cvss4_vuldb_sc	N	N	N
cvss4_vuldb_si	N	N	N
cvss4_vuldb_sa	N	N	N
cvss2_vuldb_basescore	6.5	6.5	6.5
cvss2_vuldb_tempscore	5.6	5.6	5.6
cvss3_vuldb_basescore	6.3	6.3	6.3
cvss3_vuldb_tempscore	5.7	5.7	5.7
cvss3_meta_basescore	6.3	6.3	7.5
cvss3_meta_tempscore	5.7	6.0	7.3
cvss4_vuldb_bscore	5.3	5.3	5.3
cvss4_vuldb_btscore	2.1	2.1	2.1
advisory_date	1726696800 (19/09/2024)	1726696800 (19/09/2024)	1726696800 (19/09/2024)
price_0day	$0-$5k	$0-$5k	$0-$5k
software_vendor	SourceCodester	SourceCodester	SourceCodester
software_name	Best Online News Portal	Best Online News Portal	Best Online News Portal
software_version	1.0	1.0	1.0
software_component	Comment Section	Comment Section	Comment Section
software_file	/news-details.php	/news-details.php	/news-details.php
software_argument	name	name	name
vulnerability_cwe	CWE-89 (injection SQL)	CWE-89 (injection SQL)	CWE-89 (injection SQL)
vulnerability_risk	2	2	2
cvss3_vuldb_av	N	N	N
cvss3_vuldb_ac	L	L	L
cvss3_vuldb_ui	N	N	N
cvss3_vuldb_s	U	U	U
cvss3_vuldb_c	L	L	L
cvss3_vuldb_i	L	L	L
cvss3_vuldb_a	L	L	L
cvss3_vuldb_e	P	P	P
cvss3_vuldb_rc	R	R	R
advisory_url	https://github.com/gurudattch/CVEs/blob/main/Sourcecodester-News-Portal-Comment-Blind-SQLi.md	https://github.com/gurudattch/CVEs/blob/main/Sourcecodester-News-Portal-Comment-Blind-SQLi.md	https://github.com/gurudattch/CVEs/blob/main/Sourcecodester-News-Portal-Comment-Blind-SQLi.md
exploit_availability	1	1	1
exploit_publicity	1	1	1
exploit_url	https://github.com/gurudattch/CVEs/blob/main/Sourcecodester-News-Portal-Comment-Blind-SQLi.md	https://github.com/gurudattch/CVEs/blob/main/Sourcecodester-News-Portal-Comment-Blind-SQLi.md	https://github.com/gurudattch/CVEs/blob/main/Sourcecodester-News-Portal-Comment-Blind-SQLi.md
source_cve	CVE-2024-9008	CVE-2024-9008	CVE-2024-9008
cna_responsible	VulDB	VulDB	VulDB
cvss2_vuldb_av	N	N	N
cvss2_vuldb_ac	L	L	L
cvss2_vuldb_ci	P	P	P
cvss2_vuldb_ii	P	P	P
cvss2_vuldb_ai	P	P	P
cve_nvd_summary		A vulnerability classified as critical was found in SourceCodester Best Online News Portal 1.0. This vulnerability affects unknown code of the file /news-details.php of the component Comment Section. The manipulation of the argument name leads to sql injection. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used.	A vulnerability classified as critical was found in SourceCodester Best Online News Portal 1.0. This vulnerability affects unknown code of the file /news-details.php of the component Comment Section. The manipulation of the argument name leads to sql injection. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used.
cve_nvd_summaryes		Se ha encontrado una vulnerabilidad clasificada como crítica en SourceCodester Best Online News Portal 1.0. Esta vulnerabilidad afecta al código desconocido del archivo /news-details.php del componente Comment Section. La manipulación del nombre del argumento conduce a una inyección SQL. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse.	Se ha encontrado una vulnerabilidad clasificada como crítica en SourceCodester Best Online News Portal 1.0. Esta vulnerabilidad afecta al código desconocido del archivo /news-details.php del componente Comment Section. La manipulación del nombre del argumento conduce a una inyección SQL. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse.
cvss3_cna_av		N	N
cvss3_cna_ac		L	L
cvss3_cna_pr		L	L
cvss3_cna_ui		N	N
cvss3_cna_s		U	U
cvss3_cna_c		L	L
cvss3_cna_i		L	L
cvss3_cna_a		L	L
cvss3_cna_basescore		6.3	6.3
cvss2_cna_av		N	N
cvss2_cna_ac		L	L
cvss2_cna_au		S	S
cvss2_cna_ci		P	P
cvss2_cna_ii		P	P
cvss2_cna_ai		P	P
cvss2_cna_basescore		6.5	6.5
cvss3_nvd_av			N
cvss3_nvd_ac			L
cvss3_nvd_pr			N
cvss3_nvd_ui			N
cvss3_nvd_s			U
cvss3_nvd_c			H
cvss3_nvd_i			H
cvss3_nvd_a			H
cvss3_nvd_basescore			9.8

◂ Précédent Aperçu Suivant ▸

Do you know our Splunk app?

Download it now for free!