### 关键信息 1. **漏洞编号**: - VDB-281961 - CVE-2024-10420 2. **漏洞名称**: - SourceCodester Attendance and Payroll System 1.0 Update.php Upload Image Unrestricted Upload 3. **CVSS Meta Temp Score**: - 5.7 4. **当前利用价格**: - $0-$5k 5. **CTI兴趣评分**: - 1.69 6. **漏洞描述**: - 一个被标记为“严重”的漏洞存在于SourceCodester Attendance and Payroll System 1.0的文件/marimar/guest/update.php中。通过未知输入对参数`image`的操纵会导致不受限制的上传漏洞。CWE将此问题分类为CWE-434。该产品允许攻击者上传或传输危险类型的文件,这些文件可以在产品的环境中自动处理。 7. **影响**: - 影响包括机密性、完整性和可用性。 8. **公开信息**: - 该漏洞的公开信息可以在github.com上找到。 - 漏洞的唯一标识符为CVE-2024-10420。 - 利用性被描述为容易的。 - 可以通过远程方式发起攻击。 - 技术细节和公共利用已知。 - MITRE ATT&CK项目使用攻击技术T1608.002。 9. **利用工具**: - 利用工具可以在github.com上下载。 - 宣布为概念验证。 10. **搜索建议**: - 通过搜索`inurl:marimar/guest/update.php`可以找到易受攻击的目标。 11. **建议措施**: - 没有已知的补救措施。 - 建议替换受影响的组件。 12. **相关漏洞编号**: - VDB-256511 - VDB-260575 - VDB-263337 - VDB-270337 13. **产品信息**: - 产品名称: SourceCodester Attendance and Payroll System 1.0 - 供应商: SourceCodester ### 总结 这个漏洞是一个不受限制的上传漏洞,影响了SourceCodester Attendance and Payroll System 1.0的文件/marimar/guest/update.php。漏洞的CVSS Meta Temp Score为5.7,当前利用价格为$0-$5k,CTI兴趣评分为1.69。漏洞的公开信息可以在github.com上找到,利用工具可以在github.com上下载。建议替换受影响的组件作为补救措施。