关键信息 1. 漏洞编号: - VDB-282559 - CVE-2024-10557 2. 漏洞名称: - Code-Projects Blood Bank Management System 1.0 /file/updateprofile.php Cross-Site Request Forgery 3. CVSS Meta Temp Score: - 4.1 4. 当前漏洞价格: - $0-$5k 5. CTI兴趣评分: - 0.81 6. 受影响的文件: - /file/updateprofile.php 7. 漏洞描述: - 该漏洞存在于Code-Projects Blood Bank Management System 1.0中,影响未知的代码。通过未知输入,可以引发跨站请求伪造(Cross-Site Request Forgery)漏洞。CWE定义为CWE-352。应用程序无法验证用户提交的请求是否为合法、一致的请求。 8. 漏洞影响: - 影响完整性(Integrity)。 9. 漏洞披露: - 已公开披露,可能被利用。 10. 漏洞利用: - 利用该漏洞需要远程攻击。 - 利用不需要任何身份验证。 - 需要用户进行某种交互。 - 技术细节和公开的利用工具已知。 11. 漏洞利用工具: - 可以在github.com上下载利用工具。 12. 漏洞利用方法: - 通过搜索inurl:/file/updateprofile.php可以找到易受攻击的目标。 13. 建议措施: - 没有已知的补救措施。 - 建议替换受影响的组件。 总结 这个漏洞存在于Code-Projects Blood Bank Management System 1.0的/file/updateprofile.php文件中,可以通过未知输入引发跨站请求伪造漏洞。该漏洞已被公开披露,利用相对容易,需要远程攻击且不需要身份验证。建议替换受影响的组件作为补救措施。