关键信息 1. 漏洞编号: - VDB-281937 - CVE-2024-10407 2. 漏洞名称: - SourceCodester Petrol Pump Management Software 1.0 /admin/edit_customer.php ID SQL Injection 3. CVSS Meta Temp Score: - 6.0 4. 当前漏洞价格: - $0-$5k 5. CTI Interest Score: - 1.67 6. 漏洞描述: - 该漏洞存在于SourceCodester Petrol Pump Management Software 1.0的/admin/edit_customer.php文件中,影响未知代码块。通过未知输入操纵id参数会导致SQL注入漏洞。CWE将此问题分类为CWE-89。 7. 影响: - 影响了文件的未知部分,使用外部影响的输入构建SQL命令,但未正确中和或未中和特殊元素,可能导致下游组件发送的SQL命令被修改。这将影响机密性、完整性和可用性。 8. 公开披露: - 漏洞已公开披露,可能被利用。 9. 漏洞识别: - CVE-2024-10407 10. 漏洞利用性: - 利用性被描述为容易。 - 可以远程发起攻击。 - 技术细节和公共漏洞已知。 - MITRE ATT&CK项目使用攻击技术T1505。 11. 漏洞利用: - 漏洞利用已公开。 - 宣布为PoC。 - 通过搜索inurl:admin/edit_customer.php可以找到易受攻击的目标。 12. 建议: - 没有已知的补救措施。 - 建议替换受影响的组件。 13. 相关漏洞: - VDB-255378, VDB-255453, VDB-255456, VDB-255460 总结 这个漏洞是一个SQL注入漏洞,存在于SourceCodester Petrol Pump Management Software 1.0的/admin/edit_customer.php文件中。它可以通过未知输入操纵id参数来触发,影响文件的未知部分,可能导致SQL命令被修改。漏洞已公开披露,利用性容易,技术细节和公共漏洞已知。建议替换受影响的组件。