关键信息 1. 漏洞编号: - VDB-280925 - CVE-2024-10137 2. 受影响的软件: - Code-Projects Pharmacy Management System 1.0 3. 受影响的文件: - manage_medicine.php?action=delete 4. 漏洞类型: - SQL注入 (SQL Injection) 5. CVSS Meta Temp Score: - 6.0 6. 当前漏洞利用价格: - $0-$5k 7. CTI兴趣评分: - 1.57 8. 漏洞描述: - 漏洞存在于manage_medicine.php?action=delete文件中,通过id参数接受外部输入,导致SQL注入。该产品使用外部输入构造SQL命令,但未正确处理或中和特殊字符,可能导致SQL命令被下游组件修改。 9. 影响: - 影响了机密性、完整性和可用性。 10. CVE描述: - 漏洞存在于code-projects Pharmacy Management System 1.0中,影响未知的处理过程。id参数接受外部输入,导致SQL注入。攻击可能远程发起,漏洞已公开并可能被利用。 11. 漏洞识别: - CVE-2024-10137 12. 漏洞利用: - 已知漏洞利用容易,远程攻击可能发起。技术细节和公共利用已知。MITRE ATT&CK项目使用攻击技术T1505。 13. 漏洞利用可用性: - 利用已公开,可作为概念验证。 14. 建议: - 建议替换受影响的组件。 15. 类似漏洞: - VDB-280558, VDB-280559, VDB-280924, VDB-280926 总结 这个漏洞存在于Code-Projects Pharmacy Management System 1.0的manage_medicine.php?action=delete文件中,通过id参数接受外部输入,导致SQL注入。该漏洞已被公开,利用容易,远程攻击可能发起。建议替换受影响的组件。