关键信息 1. 漏洞编号: - VDB-283805 - CVE-2024-11059 2. 漏洞名称: - Project Worlds Free Download Online Shopping System up to 192.168.1.88 Success.php ID SQL Injection 3. CVSS Meta Temp Score: - 6.0 4. 当前漏洞价格: - $0-$5k 5. CTI Interest Score: - 1.55 6. 漏洞描述: - 一个漏洞存在于Project Worlds Free Download Online Shopping System up to 192.168.1.88的未知代码中。 - 影响文件为 /online-shopping-webvsite-in-php-master/success.php。 - 通过操纵id参数并使用未知输入,导致SQL注入漏洞。 - 使用CWE-89描述问题。 - 产品使用外部组件的输入构造SQL命令,但未正确中和特殊元素,可能导致下游组件的SQL命令被修改。 - 影响了机密性、完整性和可用性。 7. 漏洞识别: - CVE-2024-11059 8. 漏洞识别来源: - github.com 9. 漏洞识别: - 该漏洞的识别是通过GitHub共享的。 10. 漏洞利用: - 已公开披露。 - 已被利用。 - 识别为容易利用。 11. 漏洞利用: - 已公开利用。 - 已有公开的利用工具。 12. 漏洞利用: - 通过搜索inurl:online-shopping-webvsite-in-php-master/success.php可以找到易受攻击的目标。 13. 漏洞利用: - 无已知的防御措施。 - 建议替换受影响的组件。 总结 这个漏洞是一个SQL注入漏洞,存在于Project Worlds Free Download Online Shopping System up to 192.168.1.88的未知代码中。它影响了系统的机密性、完整性和可用性,并且已经被公开披露和利用。建议替换受影响的组件以防止进一步的安全风险。