关键信息 1. 漏洞编号: - VDB-283872 - CVE-2024-11077 2. 漏洞名称: - Code-Projects Job Recruitment 1.0 /index.php Email SQL Injection 3. CVSS Meta Temp Score: - 7.8 4. 当前漏洞价格: - $0-$5k 5. CTI Interest Score: - 0.04 6. 受影响的文件: - /index.php 7. 漏洞描述: - 漏洞被分类为严重,存在于code-projects Job Recruitment 1.0中。通过外部影响的输入,可以利用电子邮件参数导致SQL注入漏洞。CWE将此问题分类为CWE-89。 8. 影响: - 影响未知功能的文件/index.php。通过外部影响的输入,可以利用电子邮件参数导致SQL注入漏洞。这可能会影响机密性、完整性和可用性。 9. 披露状态: - 漏洞已公开披露,可能被利用。 10. 漏洞利用: - 漏洞利用被公开披露,可以通过远程攻击利用。 - 漏洞利用不需要任何身份验证。 - 技术细节和公共利用已知。 - MITRE ATT&CK项目将此攻击技术分类为T1505。 11. 利用工具: - 利用工具可以在github.com上下载。 - 利用工具被声明为概念验证。 12. 搜索方法: - 通过搜索inurl:index.php可以找到易受攻击的目标。 13. 建议: - 没有已知的补救措施。 - 建议替换受影响的组件。 14. 相关漏洞: - VDB-274874, VDB-276818, VDB-278202, VDB-278269 总结 这个漏洞是一个严重的SQL注入漏洞,存在于code-projects Job Recruitment 1.0的/index.php文件中。它可以通过远程攻击利用,不需要身份验证。技术细节和公共利用已知,可以通过搜索inurl:index.php找到易受攻击的目标。建议替换受影响的组件。