关键信息 1. 漏洞编号: - VDB-286193 - CVE-2024-11820 2. 漏洞名称: - Code-Projects CRUD Operation System 1.0 /ADD.PHP SADDRESS CROSS SITE SCRIPTING 3. CVSS Meta Temp Score: - 5.4 4. 当前漏洞价格: - $0-$5k 5. CTI Interest Score: - 0.11 6. 漏洞描述: - 该漏洞存在于code-projects CRUD Operation System 1.0的未知代码块中,影响文件/add.php。通过操纵参数saddress,输入未知值会导致跨站脚本攻击。该问题使用CWE-79进行描述。产品在输出到其他用户之前未正确处理或未处理用户可控制的输入。 7. 漏洞影响: - 影响完整性。 8. 漏洞识别: - CVE-2024-11820 9. 漏洞利用: - 利用容易,可以通过用户交互发起攻击。技术细节和公共漏洞已知。MITRE ATT&CK项目使用攻击技术T1059.007。 10. 漏洞利用工具: - 可在github.com上找到利用工具。 11. 漏洞利用方法: - 通过搜索inurl:add.php可以找到易受攻击的目标。 12. 建议措施: - 建议替换受影响的组件。 13. 相关漏洞编号: - VDB-277341, VDB-277505, VDB-278166, VDB-279964 总结 这个漏洞存在于Code-Projects CRUD Operation System 1.0的/add.php文件中,影响了saddress参数。通过操纵这个参数,可以导致跨站脚本攻击。该漏洞的CVSS Meta Temp Score为5.4,当前漏洞价格为$0-$5k,CTI Interest Score为0.11。建议替换受影响的组件以防止潜在的安全风险。