关键信息 1. 漏洞名称: - HuangDou UTCMS V9 SQL.php RunSQL SQL Injection 2. 漏洞编号: - VDB-280246 - CVE-2024-9918 3. 受影响的组件: - HuangDou UTCMS V9 - 文件: 4. 漏洞类型: - SQL注入 5. CVSS Meta Temp Score: - 4.5 6. 当前漏洞利用价格: - $0-$5k 7. CTI兴趣评分: - 1.09 8. 漏洞描述: - 函数 RunSql 的 SQL 注入漏洞: - 影响: 通过外部影响输入构造 SQL 命令,但未正确中和特殊元素,可能导致 SQL 命令被下游组件修改。 - 影响类型: 机密性、完整性、可用性。 9. 漏洞影响: - 已公开披露。 - 可远程利用。 - 需要额外的认证级别。 - 技术细节和公共利用已知。 - 已联系厂商,未回应。 10. 漏洞利用: - 利用方法: 通过 Google Hacking 寻找受影响的目标。 11. 建议措施: - 替换受影响的组件。 12. 相关链接: - VDB-224926 - VDB-224927 - VDB-235967 - VDB-239358 总结 这个漏洞是HuangDou UTCMS V9中SQL.php文件中的RunSql函数的SQL注入漏洞。它可以通过外部影响输入构造SQL命令,但未正确中和特殊元素,可能导致SQL命令被下游组件修改。该漏洞已被公开披露,可远程利用,需要额外的认证级别,技术细节和公共利用已知。建议替换受影响的组件。