关键信息 1. 漏洞编号: - VDB-281806 - CVE-2024-10376 2. 漏洞名称: - ESAFENET CDG 5 AUTOSIGNSERVICE.JAVA ACTIONPASSORNOTAUTOSIGN UNIQUEID SQL INJECTION 3. CVSS Meta Temp Score: - 5.7 4. 当前利用价格: - $0-$5k 5. CTI兴趣评分: - 1.45 6. 漏洞描述: - 该漏洞存在于ESAFA.NET CDG 5中,影响了文件/com/esafenet/servlet/service/processsign/AutoSignService.java中的actionPassOrNotAutoSign函数。 - 通过未知输入操纵UniqueId参数会导致SQL注入漏洞。 - CWE定义为CWE-89。 - 该产品使用外部组件的输入构造或部分SQL命令,但未正确中和或中和特殊元素,可能导致下游组件的SQL命令被修改。 - 影响包括机密性、完整性和可用性。 7. 漏洞利用: - 利用容易。 - 可以远程发起攻击。 - 技术细节和公共利用已知。 - 该漏洞已分配给CVE-2024-10376。 8. 漏洞利用下载: - 可以从flowus.cn下载利用。 9. 建议措施: - 建议替换受影响的组件。 10. 相关链接: - VDB-51241 - VDB-86877 - VDB-86878 - VDB-86879 11. 产品和供应商: - 产品: ESAFENET - 供应商: ESAFENET 总结 这个漏洞是一个SQL注入漏洞,影响ESAFA.NET CDG 5的AutoSignService.java文件中的actionPassOrNotAutoSign函数。通过未知输入操纵UniqueId参数,可以导致SQL注入。该漏洞的利用容易,可以远程发起攻击,技术细节和公共利用已知。建议替换受影响的组件。