一、 漏洞 CVE-2024-51211 基础信息
漏洞信息
# N/A
## 漏洞概述
OS4ED openSIS-Classic 版本 9.1 中的 resetuserinfo.php 文件存在 SQL 注入漏洞。该漏洞源于对 `$username_stn_id` 参数的输入验证不当,攻击者可以利用这一点注入任意 SQL 命令。
## 影响版本
- OS4ED openSIS-Classic 版本 9.1
## 漏洞细节
在 resetuserinfo.php 文件中,`$username_stn_id` 参数未经过适当的验证。攻击者能够通过操纵此参数来注入任意 SQL 命令。
## 漏洞影响
攻击者可以通过注入恶意的 SQL 命令来获取敏感数据、篡改或删除数据库内容,从而对应用程序进行攻击。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
SQL injection vulnerability exists in OS4ED openSIS-Classic Version 9.1, specifically in the resetuserinfo.php file. The vulnerability is due to improper input validation of the $username_stn_id parameter, which can be manipulated by an attacker to inject arbitrary SQL commands.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
openSIS-Classic 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Open Solutions For Education OpenSis-Classic是美国Open Solutions For Education公司的一个开源的商业级、安全、可扩展和直观的学生信息系统、学校管理软件。 openSIS-Classic 9.1 版本存在安全漏洞,该漏洞源于resetuserinfo.php文件中的username_stn_id参数包含一个输入验证不当问题,导致SQL注入。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-51211 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | SQL injection vulnerability exists in OS4ED openSIS-Classic Version 9.1, specifically in the resetuserinfo.php file. The vulnerability is due to improper input validation of the $username_stn_id parameter, which can be manipulated by an attacker to inject arbitrary SQL commands. | https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2024/CVE-2024-51211.yaml | POC详情 |
