关键信息 1. 漏洞编号: - VDB-281564 - CVE-2024-10297 2. 漏洞名称: - PHPGURUKUL MEDICAL CARD GENERATION SYSTEM 1.0 - MANAGECARD EDIT IMAGE PAGE - /ADMIN/CHANGEIMAGE.PHP EDITID SQL INJECTION 3. CVSS Meta Temp Score: - 4.3 4. 当前漏洞价格: - $0-$5k 5. CTI Interest Score: - 0.96 6. 受影响的组件: - Managecard Edit Image Page 7. 受影响的文件: - /admin/changeimage.php 8. 漏洞描述: - 该漏洞存在于PHPGurukul Medical Card Generation System 1.0的未知部分,影响了Managecard Edit Image Page的/admin/changeimage.php文件。 - 通过编辑id参数,使用未知输入导致SQL注入漏洞。 - 使用CWE-89描述问题,即使用外部影响的输入从上游组件构造SQL命令,但未正确中和或中和特殊元素,可能导致下游组件的SQL命令被修改。 - 影响了机密性、完整性和可用性。 9. 漏洞处理: - 漏洞编号为CVE-2024-10297。 - 利用该漏洞需要较低的权限。 - 可以通过Google Hacking搜索/admin/changeimage.php找到易受攻击的目标。 - 没有已知的缓解措施。 10. 相关漏洞编号: - VDB-235234 - VDB-235242 - VDB-235677 - VDB-235679 11. 产品: - PHPGURUKUL MEDICAL CARD GENERATION SYSTEM 1.0 总结 这个漏洞是一个SQL注入漏洞,影响了PHPGurukul Medical Card Generation System 1.0的Managecard Edit Image Page组件。通过编辑id参数,使用未知输入可以触发SQL注入。该漏洞的利用相对容易,可以通过Google Hacking搜索找到易受攻击的目标。目前没有已知的缓解措施。