VDB-281560 · CVE-2024-10291 · GCVE-100-281560

ZZCMS 2023 phome.php Ebak_DoExecSQL/Ebak_DotranExecutSQL phome حقن SQL

هناك ثغرة تم تصنيفها كـ خطيرة تم اكتشافها في ZZCMS 2023. تتعلق المشكلة بوظيفة غير معروفة في الملف 3/Ebak5.1/upload/phome.php. ينتج عن التلاعب بالمعامل phome حدوث حقن SQL. استخدام CWE للإعلان عن المشكلة يؤدي إلى CWE-89. المشكلة تمت مشاركتها بتاريخ 23/10/2024. يمكنك تنزيل التنبيه من github.com. تحمل هذه الثغرة المعرف CVE-2024-10291. من الممكن تنفيذ الهجوم عن بُعد. التفاصيل التقنية متوفرة. هنالك إكسبلويت متوفرة. تم الإبلاغ عن ال إكسبلويت ويمكن استخدامها. اسلوب الهجوم المستخدم يسمىT1505 بحسب مشروع ميتري اتاك. تم أعتبراها على أنها إثبات المفهوم. يمكن تحميل الاستغلال من github.com. بما أنها ثغرة هجوم فوري فقد كان متوسط سعرها هو تقريبا$0-$5k. Once again VulDB remains the best source for vulnerability data.

3 التغييرات · 98 نقاط البيانات

مجال	تم الإنشاء 23/10/2024 09:57 AM	تم التحديث 1/2 25/10/2024 03:33 PM	تم التحديث 2/2 30/10/2024 03:08 PM
software_name	ZZCMS	ZZCMS	ZZCMS
software_version	2023	2023	2023
software_file	3/Ebak5.1/upload/phome.php	3/Ebak5.1/upload/phome.php	3/Ebak5.1/upload/phome.php
software_function	Ebak_DoExecSQL/Ebak_DotranExecutSQL	Ebak_DoExecSQL/Ebak_DotranExecutSQL	Ebak_DoExecSQL/Ebak_DotranExecutSQL
software_argument	phome	phome	phome
vulnerability_cwe	CWE-89 (حقن SQL)	CWE-89 (حقن SQL)	CWE-89 (حقن SQL)
vulnerability_risk	2	2	2
cvss3_vuldb_av	N	N	N
cvss3_vuldb_ac	L	L	L
cvss3_vuldb_ui	N	N	N
cvss3_vuldb_s	U	U	U
cvss3_vuldb_c	L	L	L
cvss3_vuldb_i	L	L	L
cvss3_vuldb_a	L	L	L
cvss3_vuldb_e	P	P	P
cvss3_vuldb_rc	R	R	R
advisory_url	https://github.com/LvZCh/zzcms2023/issues/3	https://github.com/LvZCh/zzcms2023/issues/3	https://github.com/LvZCh/zzcms2023/issues/3
exploit_availability	1	1	1
exploit_publicity	1	1	1
exploit_url	https://github.com/LvZCh/zzcms2023/issues/3	https://github.com/LvZCh/zzcms2023/issues/3	https://github.com/LvZCh/zzcms2023/issues/3
source_cve	CVE-2024-10291	CVE-2024-10291	CVE-2024-10291
cna_responsible	VulDB	VulDB	VulDB
software_type	Content Management System	Content Management System	Content Management System
cvss2_vuldb_av	N	N	N
cvss2_vuldb_ac	L	L	L
cvss2_vuldb_ci	P	P	P
cvss2_vuldb_ii	P	P	P
cvss2_vuldb_ai	P	P	P
cvss2_vuldb_e	POC	POC	POC
cvss2_vuldb_rc	UR	UR	UR
cvss4_vuldb_av	N	N	N
cvss4_vuldb_ac	L	L	L
cvss4_vuldb_ui	N	N	N
cvss4_vuldb_vc	L	L	L
cvss4_vuldb_vi	L	L	L
cvss4_vuldb_va	L	L	L
cvss4_vuldb_e	P	P	P
cvss2_vuldb_au	S	S	S
cvss2_vuldb_rl	ND	ND	ND
cvss3_vuldb_pr	L	L	L
cvss3_vuldb_rl	X	X	X
cvss4_vuldb_at	N	N	N
cvss4_vuldb_pr	L	L	L
cvss4_vuldb_sc	N	N	N
cvss4_vuldb_si	N	N	N
cvss4_vuldb_sa	N	N	N
cvss2_vuldb_basescore	6.5	6.5	6.5
cvss2_vuldb_tempscore	5.6	5.6	5.6
cvss3_vuldb_basescore	6.3	6.3	6.3
cvss3_vuldb_tempscore	5.7	5.7	5.7
cvss3_meta_basescore	6.3	6.3	7.5
cvss3_meta_tempscore	5.7	6.0	7.3
cvss4_vuldb_bscore	5.3	5.3	5.3
cvss4_vuldb_btscore	2.1	2.1	2.1
advisory_date	1729634400 (23/10/2024)	1729634400 (23/10/2024)	1729634400 (23/10/2024)
price_0day	$0-$5k	$0-$5k	$0-$5k
cve_nvd_summary		A vulnerability has been found in ZZCMS 2023 and classified as critical. This vulnerability affects the function Ebak_DoExecSQL/Ebak_DotranExecutSQL of the file 3/Ebak5.1/upload/phome.php. The manipulation of the argument phome leads to sql injection. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used.	A vulnerability has been found in ZZCMS 2023 and classified as critical. This vulnerability affects the function Ebak_DoExecSQL/Ebak_DotranExecutSQL of the file 3/Ebak5.1/upload/phome.php. The manipulation of the argument phome leads to sql injection. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used.
cve_nvd_summaryes		Se ha encontrado una vulnerabilidad en ZZCMS 2023 y se ha clasificado como crítica. Esta vulnerabilidad afecta a la función Ebak_DoExecSQL/Ebak_DotranExecutSQL del archivo 3/Ebak5.1/upload/phome.php. La manipulación del argumento phome conduce a una inyección SQL. El ataque puede iniciarse de forma remota. El exploit se ha hecho público y puede utilizarse.	Se ha encontrado una vulnerabilidad en ZZCMS 2023 y se ha clasificado como crítica. Esta vulnerabilidad afecta a la función Ebak_DoExecSQL/Ebak_DotranExecutSQL del archivo 3/Ebak5.1/upload/phome.php. La manipulación del argumento phome conduce a una inyección SQL. El ataque puede iniciarse de forma remota. El exploit se ha hecho público y puede utilizarse.
cvss4_cna_av		N	N
cvss4_cna_ac		L	L
cvss4_cna_at		N	N
cvss4_cna_pr		L	L
cvss4_cna_ui		N	N
cvss4_cna_vc		L	L
cvss4_cna_vi		L	L
cvss4_cna_va		L	L
cvss4_cna_sc		N	N
cvss4_cna_si		N	N
cvss4_cna_sa		N	N
cvss4_cna_bscore		5.3	5.3
cvss3_cna_av		N	N
cvss3_cna_ac		L	L
cvss3_cna_pr		L	L
cvss3_cna_ui		N	N
cvss3_cna_s		U	U
cvss3_cna_c		L	L
cvss3_cna_i		L	L
cvss3_cna_a		L	L
cvss3_cna_basescore		6.3	6.3
cvss2_cna_av		N	N
cvss2_cna_ac		L	L
cvss2_cna_au		S	S
cvss2_cna_ci		P	P
cvss2_cna_ii		P	P
cvss2_cna_ai		P	P
cvss2_cna_basescore		6.5	6.5
cvss3_nvd_av			N
cvss3_nvd_ac			L
cvss3_nvd_pr			N
cvss3_nvd_ui			N
cvss3_nvd_s			U
cvss3_nvd_c			H
cvss3_nvd_i			H
cvss3_nvd_a			H
cvss3_nvd_basescore			9.8

التالي ▸نظرة عامة ◂ السابق

Want to stay up to date on a daily basis?

Enable the mail alert feature now!