关键信息 1. 漏洞编号: - VDB-279949 - CVE-2024-9799 2. 漏洞名称: - SourceCodester Profile Registration without Reload Refresh 1.0 Add.php Cross Site Scripting 3. CVSS Meta Temp Score: - 3.2 4. 当前利用价格: - $0-$5k 5. CTI兴趣评分: - 1.12 6. 受影响的文件: - add.php 7. 漏洞描述: - 一个未知的代码块在add.php文件中,通过电子邮件地址/地址/公司名称/职位/职位描述参数的操纵,使用未知输入导致跨站脚本攻击。 8. CWE定义: - CWE-79 9. 产品信息: - 产品不中和或错误地中和了用户可控制的输入,导致输出被用于网页,该网页被其他用户访问。影响的是完整性。 10. 利用难度: - 利用难度低 - 攻击可以远程发起 - 需要受害者进行某种用户交互 11. 技术细节和公共利用: - 已知技术细节 - 已知公共利用 12. MITRE ATT&CK项目: - 使用攻击技术T1059.007 13. 利用下载: - 可以从gist.github.com下载利用 14. 搜索利用: - 通过搜索inurl:add.php可以找到易受攻击的目标 15. 可能的缓解措施: - 建议替换受影响的组件 16. 相关漏洞编号: - VDB-83007 - VDB-83329 - VDB-83613 - VDB-152063 总结 这个漏洞是一个跨站脚本攻击(XSS),影响了SourceCodester Profile Registration without Reload Refresh 1.0的add.php文件。漏洞的利用难度低,可以通过公共利用工具进行攻击。建议替换受影响的组件以缓解此漏洞。