关键信息 1. 漏洞编号: - VDB-278254 - CVE-2024-9084 2. 漏洞名称: - Code-Projects Blood Bank System 1.0 BBMS.PHP Fullname/Age/Bloodgroup/City/Phno/Gender Cross Site Scripting 3. CVSS Meta Temp Score: - 5.2 4. 当前漏洞价格: - $0-$5k 5. CTI兴趣评分: - 3.59 6. 漏洞描述: - 该漏洞存在于code-projects Blood Bank System 1.0的bbms.php文件中。通过操纵参数fullname/age/bloodgroup/city/phno/gender作为字符串的一部分,可以引发跨站脚本攻击(Cross Site Scripting,XSS)。 - 该漏洞的CWE定义为CWE-79。 - 该漏洞未正确中和用户可控的输入,导致输出被用于其他用户访问的网页中。 - 该漏洞影响完整性。 7. 漏洞影响: - 可以远程发起攻击。 - 已公开披露,可能被利用。 8. 漏洞编号: - CVE-2024-9084 9. 漏洞类型: - XSS(Cross Site Scripting) 10. 漏洞利用难度: - 漏洞利用似乎相对容易。 11. 漏洞利用方式: - 成功利用需要用户交互。 12. 漏洞利用工具: - 已公开漏洞利用工具。 13. 漏洞利用方法: - 通过搜索inurl:bbms.php可以找到易受攻击的目标。 14. 建议措施: - 建议替换受影响的组件。 15. 相关漏洞: - VDB-275772, VDB-275773, VDB-278272 总结 这个漏洞是一个跨站脚本攻击(XSS)漏洞,存在于code-projects Blood Bank System 1.0的bbms.php文件中。通过操纵特定参数,可以引发XSS攻击,影响系统的完整性。该漏洞已公开披露,可能被利用,建议替换受影响的组件。