### 关键信息 1. **漏洞编号**: - VDB-278822 - CVE-2024-9318 2. **受影响产品**: - SourceCodester Advocate Office Management System 1.0 3. **漏洞描述**: - **类型**: SQL注入 - **影响文件**: `/control/activate.php` - **问题**: 通过未知代码块中的参数 `id` 传递未知输入导致SQL注入。 - **CWE编号**: CWE-89 4. **CVSS Meta Temp Score**: 6.0 5. **当前利用价格**: $0-$5k 6. **CTI兴趣评分**: 3.17 7. **漏洞影响**: - 机密性 - 完整性 - 可用性 8. **漏洞详情**: - 该漏洞是通过外部影响的输入从上游组件构造SQL命令,但未正确中和或中和特殊元素,可能导致下游组件的SQL命令被修改。 - 影响对象包括机密性、完整性和可用性。 9. **漏洞披露**: - 已公开披露 - 可远程利用 - 已知利用难度低 10. **漏洞利用**: - **利用链接**: [GitHub](https://github.com) - **漏洞编号**: CVE-2024-9318 - **漏洞类型**: T1505 (MITRE ATT&CK项目) 11. **漏洞利用工具**: - **利用工具**: [GitHub](https://github.com) - **类型**: 证明概念 12. **建议措施**: - 建议替换受影响的组件 13. **相关漏洞**: - VDB-278789 - VDB-278790 - VDB-278837 ### 总结 这个漏洞是一个SQL注入漏洞,影响了SourceCodester Advocate Office Management System 1.0的 `/control/activate.php` 文件。漏洞可以通过外部影响的输入构造SQL命令,导致机密性、完整性和可用性受到影响。漏洞已公开披露,利用难度低,建议替换受影响的组件。