关键信息 1. 漏洞编号: - VDB-286411 - CVE-2024-11995 2. 漏洞名称: - Code-Projects Farmacia 1.0 /pagamento.php Total Cross Site Scripting 3. CVSS Meta Temp Score: - 5.3 4. 当前漏洞利用价格: - $0-$5k 5. CTI兴趣评分: - 1.74 6. 受影响的文件: - /pagamento.php 7. 漏洞描述: - 未知处理的文件 /pagamento.php 中的参数 total 与未知输入导致跨站脚本攻击。CWE定义为CWE-79。产品未中和或错误地中和用户可控制的输入,导致输出被用于其他用户。影响为完整性。 8. 漏洞类型: - 跨站脚本攻击 (Cross Site Scripting) 9. 漏洞利用难度: - 利用难度低 10. 漏洞利用方式: - 远程利用 - 需要用户交互 11. 已知漏洞利用技术: - T1059.007 (根据MITRE ATT&CK) 12. 漏洞利用工具: - 可以通过github.com下载利用工具 13. 漏洞利用方法: - 通过搜索 inurl:pagamento.php 可以找到易受攻击的目标 14. 已知的缓解措施: - 没有已知的缓解措施 - 建议替换受影响的组件 15. 相关漏洞编号: - VDB-65763 - VDB-248760 - VDB-276778 总结 这个漏洞是Code-Projects Farmacia 1.0中的一个跨站脚本攻击,影响了文件 /pagamento.php。漏洞利用难度低,可以通过远程利用,并且需要用户交互。已知的利用技术是T1059.007。可以通过搜索 inurl:pagamento.php 来找到易受攻击的目标。没有已知的缓解措施,建议替换受影响的组件。