关键信息 1. 漏洞编号: - VDB-278268 - CVE-2024-9090 2. 漏洞名称: - SourceCodester Modern Loan Management System 1.0 Search_member.php SearchMember SQL Injection 3. 受影响的文件: - search_member.php 4. 漏洞描述: - 漏洞存在于SourceCodester Modern Loan Management System 1.0的search_member.php文件中。 - 漏洞利用了searchMember参数,通过外部影响的输入导致SQL注入。 - CWE分类为CWE-89,表示该漏洞允许通过外部影响的输入构造或部分构造SQL命令。 5. 影响: - 影响了文件的SQL命令构造,但未正确中和或中和特殊元素,可能导致下游组件的SQL命令被修改。 - 影响了数据的机密性、完整性和可用性。 6. 评分: - CVSS Meta Temp Score: 6.0 - Current Exploit Price: $0-$5k - CTI Interest Score: 3.50 7. 漏洞利用: - 可以远程利用。 - 已公开披露,可能被利用。 8. 漏洞利用工具: - 可以通过访问inurl:search_member.php来找到易受攻击的目标。 - 通过Google Hacking可以找到易受攻击的目标。 9. 建议: - 建议替换受影响的组件。 - 可以参考VDB-278267的类似条目。 总结 这个漏洞是一个SQL注入漏洞,存在于SourceCodester Modern Loan Management System 1.0的search_member.php文件中,可以通过外部影响的输入构造或部分构造SQL命令,导致数据的机密性、完整性和可用性受到影响。