关键信息 漏洞描述 漏洞编号: VDB-278786, CVE-2024-9294 受影响版本: dingfanzu CMS up to 29d67d9044f6f93378e6eb6ff92272217ff7225c 漏洞名称: saveNewPwd.php 用户名 SQL 注入 CVSS Meta Temp Score: 5.7 当前漏洞价格: $0-$5k CTI 兴趣分数: 2.10 漏洞影响 受影响文件: saveNewPwd.php 问题描述: 通过未知代码,利用未知输入导致 SQL 注入。 CWE: CWE-89 影响组件: 从上游组件接收外部影响的输入,并不中和或错误地中和特殊元素,可能导致下游组件的 SQL 命令被修改。 受影响属性: 机密性、完整性和可用性。 漏洞详情 公开信息: 该漏洞已公开,可以通过 GitHub 获取详细信息。 漏洞编号: CVE-2024-9294 漏洞性质: 已知容易被利用。 攻击方式: 可以远程攻击。 技术细节: 已知。 公开漏洞利用: 已知。 漏洞分类: T1505,由 MITRE ATT&CK 项目分配。 漏洞利用 利用方式: 通过搜索 inurl:saveNewPwd.php 可以找到易受攻击的目标。 建议: 建议替换受影响的组件。 相关链接 相关漏洞: VDB-276665, VDB-276786, VDB-276799, VDB-277247 产品信息 类型: 产品类型未详细说明。 总结 这个漏洞是一个 SQL 注入漏洞,影响了 dingfanzu CMS 的 saveNewPwd.php 文件。漏洞可以通过未知代码利用未知输入导致 SQL 注入,影响机密性、完整性和可用性。漏洞已公开,可以通过 GitHub 获取详细信息,并已分配 CVE-2024-9294。建议替换受影响的组件。