支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:593

59.3%
立即捐款
一、 漏洞 CVE-2024-10699 基础信息
漏洞信息
                                        # 代码项目 Wazifa 系统 logincontrol.php SQL注入漏洞

## 漏洞概述
代码项目Wazifa System 1.0中发现了一个漏洞,被分类为关键级别。该漏洞导致SQL注入,并且可以远程利用。

## 影响版本
Wazifa System 1.0

## 漏洞细节
漏洞存在于`/controllers/logincontrol.php`文件的未知部分。攻击者可以通过操纵`username`参数来触发SQL注入攻击。此漏洞的利用细节已经公开披露。

## 影响
该漏洞可以远程发起攻击,并且公开的利用细节可能会被恶意利用。
神龙判断

是否为 Web 类漏洞:

判断理由:

是。这个漏洞存在于代码项目的Wazifa系统1.0版本中,具体影响了/logincontrol.php文件中的某个未知部分。通过操控用户名参数,攻击者可以触发SQL注入,从而可能远程发起攻击。这种攻击方式通常属于服务端的漏洞,因为其利用了服务端处理输入数据时的安全缺陷。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
code-projects Wazifa System logincontrol.php sql injection
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability was found in code-projects Wazifa System 1.0. It has been classified as critical. This affects an unknown part of the file /controllers/logincontrol.php. The manipulation of the argument username leads to sql injection. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
Code-Projects Wazifa System SQL注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Code-Projects Wazifa System是Code-Projects开源的一个内容管理系统。 Code-Projects Wazifa System 1.0版本存在SQL注入漏洞,该漏洞源于文件/controllers/logincontrol.php的参数username会导致SQL注入。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
SQL注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-10699 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2024-10699 的情报信息

  • 标题: cve/sql9.md at main · lan041221/cve · GitHub -- 🔗来源链接

    标签:exploit

    神龙速读:
                                            从这个网页截图中,可以获取到以下关于漏洞的关键信息:

1. **受影响的产品**:
   - 名称:Wazifa System
   - 版本:v1.0

2. **漏洞类型**:
   - SQL注入
   - 远程代码执行

3. **受影响的组件**:
   - logincontrol.php

4. **漏洞描述**:
   - 在登录页面存在未授权的SQL注入漏洞,用户输入的密码可以获取数据库信息并执行代码以获得服务器权限。

5. **漏洞利用示例**:
   - 通过POST请求到`/controllers/logincontrol.php`,可以利用SQL注入漏洞执行代码。
   - 使用`python sqlmap.py`命令,可以利用漏洞执行远程代码执行。

6. **漏洞利用结果**:
   - 成功利用漏洞执行了远程代码执行,获取了服务器权限。

这些信息可以帮助开发者了解漏洞的性质、受影响的范围以及如何利用漏洞进行攻击。
    cve/sql9.md at main · lan041221/cve · GitHub

  • 标题: Download Free Open Source Projects | PHP, C++ | Source code & Projects -- 🔗来源链接

    标签:product

    神龙速读:
                                            从这个网页截图中,我们可以获取到以下关于漏洞的关键信息:

1. **项目标题**:
   - "Simple College site Using HTML,CSS AND JAVASCRIPT"
   - "Project: Movie Trailer Using HTML,CSS & JavaScript With Source Code"
   - "Supermarket Billing System In C++ With Source Code"
   - "Banking management system project in C"
   - "Project: Sports Clothing Store from HTML, CSS and JS"
   - "Simple Chat System in PHP with Source Code Free Download"
   - "Etch a Sketch App In JavaScript With Source Code"
   - "How to install LEMP in Ubuntu"
   - "Captcha Generator In Python With Source Code"
   - "Game: Apple Collector from JS"

2. **项目描述**:
   - 每个项目都有简短的描述,说明了项目的功能和目标。
   - 例如,“Simple College site Using HTML,CSS AND JAVASCRIPT”项目的目标是创建一个简单的大学网站。

3. **项目分类**:
   - 项目被分类为不同的编程语言和项目类型,如C/C++, C++, PHP, JavaScript, Python等。

4. **项目日期**:
   - 每个项目都有发布日期,例如“November 2, 2024”和“October 31, 2024”。

5. **项目标签**:
   - 每个项目都有一个或多个标签,如“Project”, “PHP Projects”, “JavaScript Projects”等。

6. **项目类型**:
   - 项目类型包括“Project”, “PHP Projects”, “JavaScript Projects”, “C/C++ Projects”等。

7. **项目链接**:
   - 每个项目都有一个链接,用户可以点击下载源代码或查看详细信息。

通过这些信息,我们可以了解到这个网站提供了一系列的源代码项目,涵盖了多种编程语言和项目类型。这些项目可能包含一些潜在的安全漏洞,因为它们是开源的,任何人都可以查看和修改源代码。
    Download Free Open Source Projects | PHP, C++ | Source code & Projects

  • 标题: CVE-2024-10699 code-projects Wazifa System logincontrol.php sql injection -- 🔗来源链接

    标签:signaturepermissions-required

    神龙速读:
                                            从这个网页截图中,可以获取到以下关于漏洞的关键信息:

1. **漏洞编号**:VDB-282867
2. **漏洞名称**:CODE-PROJECTS WAZIFA SYSTEM 1.0 LOGINCONTROL.PHP USERNAME SQL INJECTION
3. **漏洞类型**:用户名 SQL 注入
4. **CVE编号**:CVE-2024-10699
5. **推荐操作**:登录推荐,登录后可以访问详细漏洞数据。
6. **访问限制**:需要登录或购买商业或企业许可证才能访问详细漏洞数据。

这些信息可以帮助了解漏洞的详细情况和如何访问详细信息。
    CVE-2024-10699 code-projects Wazifa System logincontrol.php sql injection

  • 标题: CVE-2024-10699 code-projects Wazifa System logincontrol.php sql injection -- 🔗来源链接

    标签:vdb-entrytechnical-description

    神龙速读:
                                            从这个网页截图中,可以获取到以下关于漏洞的关键信息:

1. **漏洞编号**:VDB-282867
2. **漏洞名称**:CODE-PROJECTS WAZIFA SYSTEM 1.0 LOGINCONTROL.PHP USERNAME SQL INJECTION
3. **漏洞类型**:用户名 SQL 注入
4. **CVE编号**:CVE-2024-10699
5. **推荐操作**:登录推荐,登录后可以访问详细漏洞数据。
6. **访问限制**:需要登录或购买商业或企业许可证才能访问详细漏洞数据。

这些信息可以帮助了解漏洞的详细情况和如何访问详细信息。
    CVE-2024-10699 code-projects Wazifa System logincontrol.php sql injection

  • 标题: Submit #435048: code-projects Wazifa System in php v1.0 SQL Injection,Command injection -- 🔗来源链接

    标签:third-party-advisory

    神龙速读:
                                            从这个网页截图中,可以获取到以下关于漏洞的关键信息:

1. **漏洞编号**:#435048
2. **漏洞标题**:code-projects Wazifa System in php v1.0 SQL Injection, Command injection
3. **漏洞描述**:Wazifa System in php。在登录页面,存在未经授权的SQL注入漏洞和代码执行漏洞,通过输入密码,可以获取数据库信息并执行代码以获得服务器权限。
4. **漏洞来源**:https://github.com/lan041221/cve/blob/main/sql9.md
5. **提交者**:11nk (UID 76857)
6. **提交时间**:2024年10月31日06:48 PM(2天前)
7. **审核时间**:2024年11月1日06:04 PM(23小时后)
8. **状态**:已接受
9. **VulDB Entry编号**:282867
10. **积分**:16

这些信息提供了关于漏洞的基本情况,包括漏洞的详细描述、提交者、提交和审核时间、状态以及积分。
    Submit #435048: code-projects Wazifa System in php v1.0 SQL Injection,Command injection
  • https://nvd.nist.gov/vuln/detail/CVE-2024-10699
四、漏洞 CVE-2024-10699 的评论

暂无评论

发表评论