کشف آسیبپذیری تزریق SQL در SourceCodester
SourceCodester وبسایتی است که بانک اطلاعاتی رایگانی از سورسکدهای انواع زبانهای برنامهنویسی را ارائه میدهد. یک آسیبپذیری با شدت بالا (7.3) با شناسهی CVE-2024-3359 در این وبسایت کشف شده است. این نقص در سیستم کتابخانه آنلاین SourceCodester 1.0 پیدا شده است و برخی از پردازشهای ناشناخته از فایل admin/login.php را تحت تأثیر قرار میدهد. دستکاری آرگومان user_email منجر به حمله SQL Injection میشود که میتواند از راه دور آغاز شود.
بر اساس بردار حمله این آسیبپذیری (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L) بهرهبرداری از این آسیبپذیری از شبکه خارجی امکانپذیر نیست. مهاجم باید از راه دور (از طریق پروتکلی مانند SSH یا RDP) به سیستم دسترسی داشته باشد، یا نیاز به استفاده از مهندسی اجتماعی یا تکنیکهای دیگر جهت فریب کاربر ناآگاه برای کمک به شروع بهرهبرداری دارد. (AV:N)، نیازمند هیچ پیشزمینهای نبوده و بهراحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست (AC:L) ، برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N)، به تعامل با کاربر نیز نیاز ندارد (UI:N)، بهرهبرداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر میگذارد (S:U) با سوءاستفاده از این آسیبپذیری، هر سه ضلع امنیت با شدت پایینی تحت تأثیر قرار میگیرند.
نسخهی 1.0 از SourceCodester تحت تأثیر این آسیبپذیری قرار دارد.