### 关键信息 1. **漏洞编号**: - VDB-278268 - CVE-2024-9090 2. **漏洞名称**: - SourceCodester Modern Loan Management System 1.0 Search_member.php SearchMember SQL Injection 3. **受影响的文件**: - search_member.php 4. **漏洞描述**: - 漏洞存在于SourceCodester Modern Loan Management System 1.0的search_member.php文件中。 - 漏洞利用了searchMember参数,通过外部影响的输入导致SQL注入。 - CWE分类为CWE-89,表示该漏洞允许通过外部影响的输入构造或部分构造SQL命令。 5. **影响**: - 影响了文件的SQL命令构造,但未正确中和或中和特殊元素,可能导致下游组件的SQL命令被修改。 - 影响了数据的机密性、完整性和可用性。 6. **评分**: - CVSS Meta Temp Score: 6.0 - Current Exploit Price: $0-$5k - CTI Interest Score: 3.50 7. **漏洞利用**: - 可以远程利用。 - 已公开披露,可能被利用。 8. **漏洞利用工具**: - 可以通过访问inurl:search_member.php来找到易受攻击的目标。 - 通过Google Hacking可以找到易受攻击的目标。 9. **建议**: - 建议替换受影响的组件。 - 可以参考VDB-278267的类似条目。 ### 总结 这个漏洞是一个SQL注入漏洞,存在于SourceCodester Modern Loan Management System 1.0的search_member.php文件中,可以通过外部影响的输入构造或部分构造SQL命令,导致数据的机密性、完整性和可用性受到影响。