关键信息 漏洞名称: ESAFENET CDG 5 ReuserOrganiseService.java UserID SQL Injection 漏洞编号: VDB-281553 CVE-2024-10278 CVSS Meta Temp Score: 6.0 当前利用价格: $0-$5k CTI兴趣评分: 1.45 漏洞描述: 一个漏洞被发现于ESAFA.NET CDG 5。它被分类为严重。这影响了一些未知的处理文件/com/esafernet/servlet/user/ReUserOrganiseService.java。通过未知输入操纵参数userid会导致SQL注入漏洞。CWE将此问题分类为CWE-89。该产品使用外部影响的输入构造SQL命令,但未正确中和或未中和特殊元素,这些元素可能会在发送到下游组件时修改SQL命令。这将影响机密性、完整性和可用性。 CVE总结: 一个漏洞被发现于ESAFA.NET CDG 5。它被分类为严重。这影响了未知部分的文件/com/esafernet/servlet/user/ReUserOrganiseService.java。通过未知输入操纵参数userid会导致SQL注入。该漏洞已被公开披露并可能被利用。供应商在早期被通知了此披露,但未作出回应。 漏洞利用: 漏洞利用被公开披露,可能被利用。技术细节和公共利用已知。MITRE ATT&CK项目使用攻击技术T1505。 漏洞利用下载: 漏洞利用被公开下载。它被声明为概念验证。供应商在早期被通知了此披露,但未作出回应。 建议: 没有已知的补救措施。建议替换受影响的组件。 参考: VDB-238606, VDB-239389, VDB-240220, VDB-242978