关键信息 1. 漏洞编号: - VDB-286016 - CVE-2024-11676 2. 漏洞名称: - CodeAstro Hospital Management System 1.0 Add Laboratory Equipment Page - HIS_ADMIN_ADD_LAB_EQUIPMENT.PHP Cross Site Scripting 3. 受影响的文件: - /backend/admin/his_admin_add_lab_equipment.php 4. 受影响的组件: - Add Laboratory Equipment Page 5. 漏洞描述: - 漏洞存在于未知部分的文件中,影响了组件的Add Laboratory Equipment Page。 - 通过操纵参数eqp_code/eqp_name/eqp_vendor/eqp_desc/eqp_dept/eqp_status/eqp_qty,使用未知输入会导致跨站脚本攻击(Cross Site Scripting)。 6. CVSS Meta Temp Score: - 3.2 7. 当前利用价格: - $0-$5k 8. CTI Interest Score: - 2.29 9. 漏洞影响: - 影响了CodeAstro Hospital Management System 1.0的完整性。 10. 漏洞处理: - 漏洞编号为CVE-2024-11676。 - 利用难度低,可以远程攻击。 - 成功利用需要用户交互。 - 技术细节和公共利用已知。 - MITRE ATT&CK项目将此技术归类为T1059.007。 11. 利用信息: - 利用信息可在github.com上找到。 - 利用被标记为proof-of-concept。 - 通过搜索inurl:backend/admin/his_admin_add_lab_equipment.php可以找到易受攻击的目标。 12. 建议措施: - 建议替换受影响的组件。 - 没有已知的补救措施。 13. 相关漏洞: - VDB-286015 - VDB-286017 - VDB-286018 总结 这个漏洞是一个跨站脚本攻击(Cross Site Scripting),影响了CodeAstro Hospital Management System 1.0的Add Laboratory Equipment Page组件。漏洞的利用难度低,可以通过远程攻击,并且技术细节和公共利用已知。建议替换受影响的组件以修复此漏洞。