关键信息 漏洞描述 漏洞名称: ESAFENET CDG 5 SYSTEMENCRIPTPOLICYSERVICE.JAVA DELSYSTEMENCRIPTPOLICY ID SQL INJECTION 漏洞编号: VDB-282625, CVE-2024-10613 受影响产品: ESAFENET CDG 5 受影响文件: /com/esafenet/servlet/system/SystemEncryptPolicyService.java 漏洞类型: SQL注入 CWE定义: CWE-89 影响: 保密性、完整性、可用性 漏洞影响 严重性: 批准为严重 CVSS Meta Temp Score: 6.0 当前利用价格: $0-$5k CTI兴趣评分: 0.81 漏洞细节 描述: 漏洞存在于ESAFA.NET CDG 5的SystemEncryptPolicyService.java文件中。通过操纵参数id,可以利用未知输入引发SQL注入。 影响: 产品会构造SQL命令,但未正确中和或中和外部影响的输入,可能导致SQL命令在发送到下游组件时被修改。 影响范围: 影响保密性、完整性、可用性。 其他信息 披露: 该漏洞于2024年10月13日披露。 利用难度: 利用难度低 公开利用: 已公开利用 技术细节: 已公开 公开POC: 可以下载POC MITRE ATT&CK: 使用T1505攻击技术 建议: 建议替换受影响的组件。 参考链接 披露链接: flowus.cn CVE编号: CVE-2024-10613 总结 这个漏洞是一个严重的SQL注入漏洞,存在于ESAFA.NET CDG 5的SystemEncryptPolicyService.java文件中。通过操纵参数id,可以利用未知输入引发SQL注入,影响保密性、完整性、可用性。该漏洞已公开披露,利用难度低,已公开利用,技术细节和POC已公开。建议替换受影响的组件。