关键信息 1. 漏洞编号: - VDB-283922 - CVE-2024-11102 2. 受影响产品: - SourceCodester Hospital Management System 1.0 3. 受影响文件: - /vm/doctor/edit-doc.php 4. 漏洞类型: - Name Cross Site Scripting (XSS) 5. CVSS Meta Temp Score: - 3.3 6. 当前漏洞利用价格: - $0-$5k 7. CTI Interest Score: - 0.27 8. 漏洞描述: - 漏洞存在于 /vm/doctor/edit-doc.php 文件中,通过未知功能的参数 name 与未知输入导致跨站脚本攻击。该漏洞未被产品中和或错误地中和用户可控制的输入,导致输出被用于网页并提供给其他用户。影响的是完整性。 9. 漏洞利用: - 可以远程利用。 - 成功利用需要用户交互。 - 已知技术细节和公共利用。 10. 漏洞利用链接: - github.com - drive.google.com 11. 漏洞利用方法: - 通过搜索 inurl:vm/doctor/edit-doc.php 可以找到易受攻击的目标。 12. 建议措施: - 建议替换受影响的组件。 13. 相关漏洞编号: - VDB-282290, VDB-282989, VDB-283087, VDB-283309 总结 这个漏洞存在于 SourceCodester Hospital Management System 1.0 的 /vm/doctor/edit-doc.php 文件中,导致跨站脚本攻击。漏洞利用容易,可以通过公共利用链接找到易受攻击的目标。建议替换受影响的组件以防止进一步的安全风险。