关键信息 1. 漏洞编号: - VDB-281961 - CVE-2024-10420 2. 漏洞名称: - SourceCodester Attendance and Payroll System 1.0 Update.php Upload Image Unrestricted Upload 3. CVSS Meta Temp Score: - 5.7 4. 当前利用价格: - $0-$5k 5. CTI兴趣评分: - 1.69 6. 漏洞描述: - 一个被标记为“严重”的漏洞存在于SourceCodester Attendance and Payroll System 1.0的文件/marimar/guest/update.php中。通过未知输入对参数 的操纵会导致不受限制的上传漏洞。CWE将此问题分类为CWE-434。该产品允许攻击者上传或传输危险类型的文件,这些文件可以在产品的环境中自动处理。 7. 影响: - 影响包括机密性、完整性和可用性。 8. 公开信息: - 该漏洞的公开信息可以在github.com上找到。 - 漏洞的唯一标识符为CVE-2024-10420。 - 利用性被描述为容易的。 - 可以通过远程方式发起攻击。 - 技术细节和公共利用已知。 - MITRE ATT&CK项目使用攻击技术T1608.002。 9. 利用工具: - 利用工具可以在github.com上下载。 - 宣布为概念验证。 10. 搜索建议: - 通过搜索 可以找到易受攻击的目标。 11. 建议措施: - 没有已知的补救措施。 - 建议替换受影响的组件。 12. 相关漏洞编号: - VDB-256511 - VDB-260575 - VDB-263337 - VDB-270337 13. 产品信息: - 产品名称: SourceCodester Attendance and Payroll System 1.0 - 供应商: SourceCodester 总结 这个漏洞是一个不受限制的上传漏洞,影响了SourceCodester Attendance and Payroll System 1.0的文件/marimar/guest/update.php。漏洞的CVSS Meta Temp Score为5.7,当前利用价格为$0-$5k,CTI兴趣评分为1.69。漏洞的公开信息可以在github.com上找到,利用工具可以在github.com上下载。建议替换受影响的组件作为补救措施。