重要情報 1. 脆弱性 ID: - VDB-276261 - CVE-2024-8366 2. 影響を受けるソフトウェア: - Code-Projects Pharmacy Management System 1.0 3. 影響を受けるファイル: - 4. 影響を受けるコンポーネント: - 更新プロフィールページ 5. 脆弱性タイプ: - クロスサイトスクリプティング(XSS) 6. CVSS 暫定メタスコア: - 4.1 7. 現在のエクスプロイト価格: - $0〜$5,000 8. CTI 興味スコア: - 2.89 9. 脆弱性の説明: - 脆弱性は Code-Projects Pharmacy Management System 1.0 に存在し、不明なファイル 内のコンポーネント「更新プロフィールページ」に影響を与えます。 パラメータに を入力することで、クロスサイトスクリプティング攻撃を引き起こすことができます。CWE はこの問題を CWE-79 に分類しています。プロダクトはユーザー制御可能な入力を適切に処理または検証しないため、出力が他のユーザーへのウェブページとして送信され、完全性(Integrity)に影響を与えます。 10. 脆弱性の特定: - 脆弱性 ID は CVE-2024-8366 です 11. エクスプロイトの難易度: - 容易 12. エクスプロイトの性質: - リモートから利用可能 - ユーザーのインタラクションが必要 - 公開されており、公開エクスプロイトツールが存在する 13. 技術的詳細: - MITRE ATT&CK プロジェクトの技術 T1059.007 を使用 14. 脆弱性の性質: - 概念実証(PoC) 15. 推奨対策: - 影響を受けるコンポーネントの置換を推奨 16. 関連する脆弱性 ID: - VDB-205454 - VDB-205455 - VDB-221494 - VDB-229155 まとめ この脆弱性は Code-Projects Pharmacy Management System 1.0 の「更新プロフィールページ」コンポーネントにおけるクロスサイトスクリプティング(XSS)脆弱性です。特定の入力を行うことで、攻撃者は他のユーザーのページ内で悪意のあるスクリプトを実行でき、システムの完全性に影響を及ぼします。この脆弱性を修正するため、影響を受けるコンポーネントの置換などの対策を講じることが推奨されます。