关键信息 1. 漏洞编号: - VDB-280927 - CVE-2024-10139 2. 漏洞名称: - Code-Projects Pharmacy Management System 1.0 /ADD_NEW_SUPPLIER.PHP NAME SQL INJECTION 3. CVSS Meta Temp Score: - 6.0 4. 当前漏洞价格: - $0-$5k 5. CTI兴趣评分: - 1.53 6. 受影响的文件: - /add_new_supplier.php 7. 漏洞描述: - 漏洞存在于代码-项目药房管理系统1.0的未知部分。通过未知输入对参数name进行操作会导致SQL注入漏洞。CWE定义为CWE-89。产品使用外部影响输入构建或部分SQL命令,但未正确中和或中和特殊元素,可能导致下游组件发送的SQL命令被修改。 8. 影响: - 影响机密性、完整性和可用性。 9. CVE描述: - 漏洞存在于代码-项目药房管理系统1.0的未知功能部分。通过参数name的操作导致SQL注入。攻击可以远程发起。漏洞已公开披露并可能被利用。 10. 漏洞利用: - 可以在gist.github.com上阅读漏洞通告。 - 漏洞已知为CVE-2024-10139。 - 利用似乎很容易。 - 攻击可以远程发起。 - 技术细节和公共漏洞已知。 - 利用技术是T1505,根据MITRE ATT&CK。 11. 漏洞利用下载: - 可以在gist.github.com上下载利用。 - 宣布为概念验证。 - 通过搜索inurl:add_new_supplier.php可以找到易受攻击的目标。 12. 可能的缓解措施: - 没有已知的缓解措施。 - 建议替换受影响的组件。 13. 相关漏洞: - VDB-278612, VDB-279237, VDB-279888, VDB-279958 总结 这个漏洞存在于Code-Projects Pharmacy Management System 1.0的/add_new_supplier.php文件中,导致SQL注入。漏洞的CVSS分数为6.0,当前价格为$0-$5k,CTI兴趣评分为1.53。漏洞利用容易,可以通过远程攻击发起。建议替换受影响的组件以缓解此漏洞。