### 关键信息 1. **漏洞编号**: - VDB-276780 - CVE-2024-8560 2. **漏洞名称**: - SourceCodester Simple Invoice Generator System 1.0 /save_invoice.php SQL Injection 3. **CVSS Meta Temp Score**: - 6.0 4. **当前利用价格**: - $0-$5k 5. **CTI兴趣评分**: - 1.37 6. **漏洞描述**: - 一个被分类为严重的漏洞被发现于SourceCodester Simple Invoice Generator System 1.0的/save_invoice.php文件中。 - 影响的是一个未知的函数,通过使用未知输入,可以导致SQL注入漏洞。 - CWE将此问题分类为CWE-89。 - 该产品使用外部影响的输入构造SQL命令,但未正确中和或未中和特殊元素,这些元素可能会在发送到下游组件时修改SQL命令。 - 这将影响机密性、完整性和可用性。 7. **漏洞利用**: - 漏洞被公开披露,可能被利用。 - 该漏洞被标记为CWE-89。 - 利用该漏洞需要容易的利用方法。 - 可以远程发起攻击。 - 已知的技术细节和公共利用。 - MITRE ATT&CK项目将攻击技术标记为T1505。 8. **漏洞利用情况**: - 该漏洞被标记为PoC(Proof-of-Concept)。 - 通过搜索`inurl:save_invoice.php`,可以使用Google Hacking找到易受攻击的目标。 9. **建议措施**: - 没有已知的补救措施。 - 建议替换受影响的组件。 10. **类似漏洞**: - 相似漏洞的编号为VDB-247343。