Divd-2024-00031 case #823
Divd-2024-00031 case #823
Conversation
Casefile for new ComfortKey
Divd 2024 00031
|
Ik mis de release van de CVE in dit PR, klopt dat? |
Verwerkt. |
| end: | ||
| event: "First version of this casefile." | ||
| # ips: 0 | ||
|
|
There was a problem hiding this comment.
Ik mis de settings om dit een locale cve te maken zie template case 3000-1 of 3000-2
| { | ||
| "lang": "en", | ||
| "cweId": "CWE-200", | ||
| "description": "CWE-200 Exposure of Sensitive Information to an Unauthorized Actor", | ||
| "type": "CWE" | ||
| } |
There was a problem hiding this comment.
Volgens mij moet die CWE-98 zijn.
https://cwe.mitre.org/data/definitions/98.html
There was a problem hiding this comment.
Het was gewijzigd van CWE-98 naar deze omdat het PHP LFI was in overleg met Alwin, @MrSeccubus Vind je het handiger om dit alsnog te wijzigen?
There was a problem hiding this comment.
CWE-200 is wanneer gevoelige data "gewoon" wordt weergegeven, maar dit is een LFI, maar geen code execution.
Ik zou hem dan onder CWE-22 (path traversal) zetten. CWE-98 is idd LFI van PHP code, wat hier niet het geval is.
There was a problem hiding this comment.
CWE-41 is misschien een nog beter match https://cwe.mitre.org/data/definitions/41.html
Co-authored-by: Frank Breedijk <[email protected]>
Co-authored-by: Frank Breedijk <[email protected]>
Co-authored-by: Frank Breedijk <[email protected]>
Co-authored-by: Frank Breedijk <[email protected]>
Co-authored-by: Frank Breedijk <[email protected]>
Co-authored-by: Frank Breedijk <[email protected]>
Divd-2024-00031 case release