关键信息 漏洞描述 漏洞编号: VDB-278244 - CVE-2024-9077 受影响版本: dingfangzu up to 29d67d9044f6f93378e6eb6ff92272217ff7225c 受影响组件: scripts/order.js 受影响功能: 未知功能 漏洞类型: 跨站脚本攻击 (Cross Site Scripting, XSS) CWE编号: CWE-79 影响: 影响完整性 (Integrity) 漏洞影响 CVSS Meta Temp Score: 3.3 当前利用价格: $0-$5k CTI兴趣分数: 2.23 漏洞详情 描述: 未知功能的 scripts/order.js 中的 address-name 参数被恶意输入影响,导致跨站脚本攻击。 影响: 未正确中和或未中和用户可控制的输入,导致输出被用于其他用户。 披露: 已公开披露,可能被利用。 版本: 未知,无受影响版本或更新版本的详细信息。 联系: 供应商在披露后未回应。 其他信息 公开披露: 通过 GitHub 公开披露。 利用难度: 容易 利用方式: 需用户交互 技术细节: 已知 公开利用: 已知 MITRE ATT&CK: T1059.007 公开利用: 作为概念验证 (proof-of-concept) 公开。 漏洞利用 利用方式: 通过 GitHub 公开下载利用工具。 总结 这个漏洞是一个跨站脚本攻击,影响未知功能的 scripts/order.js 中的 address-name 参数。受影响的版本范围广泛,且未提供受影响版本或更新版本的详细信息。漏洞已公开披露,可能被利用,但供应商未回应。利用难度较低,技术细节已知,且存在公开利用。