重要情報 1. 脆弱性識別子: - VDB-280926 - CVE-2024-10138 2. 脆弱性名称: - Code-Projects Pharmacy Management System 1.0 - 3. 対象ファイル: - 4. 脆弱性の種類: - SQLインジェクション 5. CVSS Meta Temp スコア: - 6.0 6. 現在の脆弱性価格: - $0-$5k 7. CTI 関心スコア: - 1.64 8. 脆弱性の説明: - この脆弱性は、不明な機能を持つファイル に影響を与えます。不明な入力を介して パラメータを操作することで、SQLインジェクションを引き起こすことができます。CWEはこの問題を CWE-89 に分類しています。製品は外部から影響を受ける入力を用いてSQLコマンドを構築していますが、特殊な要素の無効化(エスケープ等)が適切に行われていない、あるいは全く行われていないため、下流のコンポーネントにおいてSQLコマンドが改変される可能性があります。これは、機密性、完全性、および可用性に影響を及ぼします。 9. 脆弱性の影響: - リモートからの攻撃が可能。 - 公開されており、悪用される可能性がある。 10. 脆弱性識別子: - CVE-2024-10138 11. 悪用の容易さ: - 容易。 12. 悪用手法: - 公開されており、技術的詳細や公共での悪用例が知られている。 13. 悪用ツール: - 概念実証(PoC)。 14. 推奨対策: - 影響を受けるコンポーネントの置き換えを推奨。 15. 関連する脆弱性識別子: - VDB-278612 - VDB-279237 - VDB-279888 - VDB-279958 まとめ この脆弱性はSQLインジェクションであり、Code-Projects Pharmacy Management System 1.0 の ファイルに影響を与えます。不明な入力を介して パラメータを操作することでトリガーされ、SQLインジェクションを引き起こします。本脆弱性のCVSS Meta Tempスコアは6.0、現在の脆弱性価格は$0-$5k、CTI関心スコアは1.64です。攻撃はリモートから可能であり、すでに公開されており、技術的詳細や公共での悪用事例が知られています。影響を受けるコンポーネントの置き換えを推奨します。