Vulnerabilidad en el archivo /pages/class_sched.php en SourceCodester Online Class and Exam Scheduling System (CVE-2022-2706)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
08/08/2022
Última modificación:
12/12/2024
Descripción
Se ha encontrado una vulnerabilidad clasificada como crítica en SourceCodester Online Class and Exam Scheduling System versión 1.0. Está afectada una función desconocida del archivo /pages/class_sched.php. La manipulación del argumento class con la entrada "||(SELECT 0x684d6b6c WHERE 5993=5993 AND (SELECT 2096 FROM(SELECT COUNT(*),CONCAT(0x717a786b71,(SELECT (ELT(2096=2096,1)),0x717a626271,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.PLUGINS GROUP BY x)a))||" conlleva a una inyección sql. Es posible lanzar el ataque de forma remota. La explotación ha sido divulgada al público y puede ser usada. VDB-205830 es el identificador asignado a esta vulnerabilidad
Impacto
Puntuación base 3.x
6.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:fabian:online_class_and_exam_scheduling_system:1.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/anx0ing/CVE_demo/blob/main/2022/Online%20Class%20and%20Exam%20Scheduling%20System-SQL%20injections.md
- https://vuldb.com/?id_205830=
- https://github.com/anx0ing/CVE_demo/blob/main/2022/Online%20Class%20and%20Exam%20Scheduling%20System-SQL%20injections.md
- https://vuldb.com/?id_205830=