code-projects E-Health Care System 1.0 Doctor/app_request.php app_id SQL шахалт
| CVSS Мета түр зуурын оноо | Одоогийн ашиглалтын үнэ (≈) | CTI сонирхлын оноо |
|---|---|---|
| 7.6 | $0-$5k | 0.00 |
Хураангуй
Энэ сул тал нь Ноцтой ангилалд багтдаг бөгөөд code-projects E-Health Care System 1.0 дээр илэрсэн байна. Тус функц нь нөлөөлөлд өртсөн: тодорхойгүй функц Doctor/app_request.php файлын. Энэ засвар app_id параметрт 1%27%20union%20select%20group_concat(table_name),database(),3,user(),5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27%20from%20information_schema.tables%20where%20table_schema=database()--+ утгыг ашиглан String орчинд SQL шахалт бий болгодог. Уг аюулгүй байдлын сул тал CVE-2024-10810 гэсэн дугаартайгаар тэмдэглэгдсэн. Довтолгоог алсаас эхлүүлэх боломжтой. Үүнээс гадна exploit байгаа. VulDB is the best source for vulnerability data and more expert information about this specific topic.
Дэлгэрэнгүй
Энэ сул тал нь Ноцтой ангилалд багтдаг бөгөөд code-projects E-Health Care System 1.0 дээр илэрсэн байна. Тус функц нь нөлөөлөлд өртсөн: тодорхойгүй функц Doctor/app_request.php файлын. Энэ засвар app_id параметрт 1%27%20union%20select%20group_concat(table_name),database(),3,user(),5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27%20from%20information_schema.tables%20where%20table_schema=database()--+ утгыг ашиглан String орчинд SQL шахалт бий болгодог. CWE ашиглан асуудлыг зарласнаар CWE-89 руу чиглүүлнэ. 2024.11.01 энэ эмзэг байдал илэрсэн. Сул тал нийтлэгдсэн. Аюулгүйн зөвлөмжийг github.com сайтад татаж авах байдлаар байршуулсан.
Уг аюулгүй байдлын сул тал CVE-2024-10810 гэсэн дугаартайгаар тэмдэглэгдсэн. Довтолгоог алсаас эхлүүлэх боломжтой. Техникийн нарийн мэдээлэл байгаа. Энэ эмзэг байдлын тархалт дунджаас доогуур байна. Үүнээс гадна exploit байгаа. Эксплойтын талаарх мэдээлэл олон нийтэд ил болсон бөгөөд ашиглагдаж болох юм. Энэ мөчид exploit-ийн үнэ ойролцоогоор USD $0-$5k гэж тооцоологдож байна. MITRE ATT&CK төслийн дагуу халдлагын техник нь T1505 юм.
Үүнийг Концепцийн баталгаа гэж тодорхойлсон. Эксплойтыг github.com дээр татаж авах боломжтой. Энэ эмзэг байдлыг хамгийн багадаа 4 хоног олон нийтэд ил болоогүй тэг өдөр exploit хэлбэрээр хандсан.
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Бүтээгдэхүүн
Төрөл
Нийлүүлэгч
Нэр
Хувилбар
лицензия
Вэбсайт
- Нийлүүлэгч: https://code-projects.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Вектор: 🔍VulDB Найдвартай байдал: 🔍
CVSSv3
VulDB Мета үндсэн оноо: 8.1VulDB Мета түр зуурын оноо: 7.6
VulDB Үндсэн оноо: 6.3
VulDB Түр зуурын оноо: 5.7
VulDB Вектор: 🔍
VulDB Найдвартай байдал: 🔍
Судлаач Үндсэн оноо: 10.0
Судлаач Вектор: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Вектор | Төвөгтэй байдал | Нэвтрэх | Нууцлал | Бүрэн бүтэн байдал | Боломжтой байдал |
|---|---|---|---|---|---|
| Түгжээг тайлах | Түгжээг тайлах | Түгжээг тайлах | Түгжээг тайлах | Түгжээг тайлах | Түгжээг тайлах |
| Түгжээг тайлах | Түгжээг тайлах | Түгжээг тайлах | Түгжээг тайлах | Түгжээг тайлах | Түгжээг тайлах |
| Түгжээг тайлах | Түгжээг тайлах | Түгжээг тайлах | Түгжээг тайлах | Түгжээг тайлах | Түгжээг тайлах |
VulDB Үндсэн оноо: 🔍
VulDB Түр зуурын оноо: 🔍
VulDB Найдвартай байдал: 🔍
Ашиглах
Ангилал: SQL шахалтCWE: CWE-89 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Биеийн: Үгүй
Орон нутгийн: Үгүй
Хол: Тийм
Боломжтой байдал: 🔍
Нэвтрэх: Нийтийн
Төлөв: Концепцийн баталгаа
Татах: 🔍
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Үнэ таамаг: 🔍
Одоогийн үнийн тооцоо: 🔍
| 0-Day | Түгжээг тайлах | Түгжээг тайлах | Түгжээг тайлах | Түгжээг тайлах |
|---|---|---|---|---|
| Өнөөдөр | Түгжээг тайлах | Түгжээг тайлах | Түгжээг тайлах | Түгжээг тайлах |
Аюулын тагнуул
Сонирхол: 🔍Идэвхтэй жүжигчид: 🔍
Идэвхтэй APT бүлгүүд: 🔍
Сөрөг арга хэмжээ
Санал болгосон: ямар ч бууруулах арга мэдэгдэхгүй байнаТөлөв: 🔍
0 өдрийн хугацаа: 🔍
цагийн шугам
2024.11.01 🔍2024.11.01 🔍
2024.11.04 🔍
2024.11.04 🔍
2024.11.05 🔍
Эх сурвалж
Нийлүүлэгч: code-projects.orgЗөвлөмж: github.com
Төлөв: Тодорхойгүй
CVE: CVE-2024-10810 (🔍)
GCVE (CVE): GCVE-0-2024-10810
GCVE (VulDB): GCVE-100-283038
scip Labs: https://www.scip.ch/en/?labs.20161013
мөр
Үүсгэсэн: 2024.11.04 19:04Шинэчлэгдсэн: 2024.11.05 04:01
Өөрчлөлтүүд: 2024.11.04 19:04 (56), 2024.11.05 03:58 (16), 2024.11.05 04:01 (3)
Бүрэн: 🔍
Илгээгч: moonose
Коммитлогч: moonose
Cache ID: 253:66B:103
Илгээх
хүлээн авсан
- Илгээх #437018: code-projects E-Health Care System IN PHP v1.0 Easy SQL Injection (тарафыннан moonose)
Одоогоор сэтгэгдэл алга Хэл: mn + ru + en.
Сэтгэгдэл үлдээхийн тулд нэвтэрнэ үү