关键信息 1. 漏洞编号: - VDB-278253 - CVE-2024-9083 2. 漏洞名称: - SourceCodester Employee Management System 1.0 /ADMIN/ADD-ADMIN.PHP TXTFULLNAME CROSS SITE SCRIPTING 3. 受影响的文件: - /Admin/add-admin.php 4. 漏洞描述: - 漏洞影响未知部分的文件 /Admin/add-admin.php。 - 通过未知输入对参数 txtfullname 的操纵会导致跨站脚本攻击(Cross Site Scripting, XSS)。 - CWE(Common Weakness Enumeration)分类为 CWE-79。 5. 影响: - 产品未对用户可控的输入进行中和或错误地中和,导致输出被用于其他用户。 - 影响完整性。 6. CVSS Meta Temp Score: - 2.3 7. 当前利用价格: - $0-$5k 8. CTI Interest Score: - 2.76 9. 漏洞详情: - 漏洞影响未知部分的文件 /Admin/add-admin.php。 - 参数 txtfullname 的操纵会导致跨站脚本攻击。 - 攻击可以远程发起。 - 已公开披露,可能被利用。 10. 漏洞识别: - 该漏洞在 GitHub 上公开。 - 漏洞编号为 CVE-2024-9083。 11. 漏洞利用: - 利用性容易。 - 需要额外的用户认证级别。 - 需要用户进行某种交互。 - 已知技术细节和公共利用。 - MITRE ATT&CK 项目使用攻击技术 T1059.007。 12. 利用下载: - 漏洞利用可以在 GitHub 上下载。 - 宣布为 Proof-of-Concept(POC)。 13. 搜索建议: - 通过搜索 inurl:Admin/add-admin.php 可能找到易受攻击的目标。 14. 建议: - 没有已知的补救措施。 - 建议替换受影响的组件。 15. 相关漏洞: - VDB-256454 - VDB-259631 总结 这个漏洞是一个跨站脚本攻击(XSS)漏洞,影响 SourceCodester Employee Management System 1.0 的 /Admin/add-admin.php 文件。通过未知输入对参数 txtfullname 的操纵会导致跨站脚本攻击。该漏洞的利用性容易,已公开披露,可能被利用。建议替换受影响的组件以防止潜在的安全风险。