SourceCodester Clinic Queuing System - CVE-2024-0265
Date de publication :
Un défaut dans le fichier /index.php de SourceCodester Clinic Queuing System permet à un attaquant non authentifié, en envoyant des requêtes GET spécifiquement forgées, de réaliser une inclusion de fichier local.
Informations
La faille est activement exploitée : Non
Un correctif existe : Non
Une mesure de contournement existe : Non
Contournement de la politique de sécurité
Exécution de code arbitraire
Exploitation
La vulnérabilité exploitée est du type
CWE-73: External Control of File Name or Path
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Une preuve de concept est disponible en sources ouvertes.
Systèmes ou composants affectés
SourceCodester Clinic Queuing System version 1.0
Solutions ou recommandations
L’exploitation de cette vulnérabilité (inclusion de fichier local) liée avec celle de la CVE-2023-0264 (contournement de la politique de sécurité) amène à une exécution de code arbitraire.
Il n’existe pas de correctif ou de mesure de contournement à ce stade, il est recommandé de journaliser et analyser les requêtes HTTP de type GET, à destination de la ressource index.php, pour détecter toutes activités suspectes.