关键信息 1. 漏洞编号: - VDB-286412 - CVE-2024-11996 2. 漏洞名称: - Code-Projects Farmacia 1.0 /editar-fornecedor.php Cidade Cross Site Scripting 3. CVSS Meta Temp Score: - 5.3 4. 当前利用价格: - $0-$5k 5. CTI兴趣评分: - 1.50 6. 受影响的文件: - /editar-fornecedor.php 7. 问题描述: - 漏洞存在于code-projects Farmacia 1.0中,影响未知函数的文件/editar-fornecedor.php。通过未知输入对参数cidade进行操纵会导致跨站脚本攻击。使用CWE将问题归类为CWE-79。产品在输出到其他用户之前没有正确地中和或未中和用户可控制的输入。 8. 漏洞类型: - 跨站脚本攻击 (Cross Site Scripting) 9. 漏洞影响: - 完整性 (Integrity) 10. 漏洞利用: - 已公开披露,可能被利用。 - 成功利用需要用户交互。 - 技术细节和公共利用已知。 - MITRE ATT&CK项目将攻击技术归类为T1059.007。 11. 利用方法: - 利用方法已公开,可以通过Google Hacking找到易受攻击的目标。 12. 建议措施: - 建议替换受影响的组件。 13. 相关漏洞编号: - VDB-241608, VDB-284680, VDB-284681, VDB-284682 总结 这个漏洞是一个跨站脚本攻击,影响了Code-Projects Farmacia 1.0的editar-fornecedor.php文件。它可以通过用户输入操纵参数cidade来触发,导致跨站脚本攻击。漏洞的利用方法已公开,建议替换受影响的组件以防止利用。