关键信息 1. 漏洞编号: - VDB-276773 - CVE-2024-8554 2. 漏洞名称: - SourceCodester Clinics Patient Management System 2.0 /users.php Message Cross Site Scripting 3. CVSS Meta Temp Score: - 3.3 4. 当前漏洞价格: - $0-$5k 5. CTI Interest Score: - 3.92 6. 漏洞描述: - 一个未知函数的文件/users.php中存在一个漏洞,该函数处理的参数message与未知输入导致跨站脚本攻击。使用CWE将问题归类为CWE-79。产品未正确处理或未处理用户可控制的输入,导致输出被其他用户看到。影响的是完整性。 7. 漏洞识别: - CVE-2024-8554 8. 漏洞利用: - 已公开披露,可能被利用。 9. 漏洞利用难度: - 利用难度低,远程攻击可能。 10. 漏洞利用方式: - 需要用户交互。 11. 技术细节: - 已知。 12. 公开利用: - 已知。 13. MITRE ATT&CK项目: - 使用攻击技术T1059.007。 14. 漏洞利用工具: - 已公开。 15. 漏洞利用方法: - 通过搜索inurl:/users.php可以找到易受攻击的目标。 16. 建议措施: - 建议替换受影响的组件。 17. 相关漏洞编号: - VDB-252602, VDB-257232, VDB-258621, VDB-260129 总结 这个漏洞是一个跨站脚本攻击(Cross Site Scripting, XSS)漏洞,影响的是SourceCodester Clinics Patient Management System 2.0的/users.php文件。漏洞的利用难度低,远程攻击可能,且已公开披露和利用。建议替换受影响的组件以防止进一步的安全风险。