主要情報 1. バグ識別子: - VDB-276229 - CVE-2024-8347 2. 影響を受けるソフトウェア: - SourceCodester Computer Laboratory Management System 1.0 3. 脆弱性の種類: - SQLインジェクション (SQL Injection) 4. 影響を受ける関数: - delete_record 5. 影響を受けるファイル: - classes/Master.php 6. 脆弱性の説明: - 外部入力により関数 の パラメータが操作され、SQLインジェクションを誘発します。 - 本脆弱性のCWE定義はCWE-89です。 - 製品は外部入力を使用してSQLコマンドを構築していますが、特殊要素の適切なるエスケープ(中和)が行われておらず、結果として後続のコンポーネントに対して悪意のあるSQLコマンドが注入・変更される可能性があります。 7. 影響: - 機密性、完全性、および可用性に影響を与えます。 8. CVSS メタ一時スコア: - 6.0 9. 現在のエクスプロイト価格: - $0-$5k 10. CTI関心度スコア: - 3.80 11. 開示状況: - 公開されており、実際に攻撃に利用される可能性があります。 12. エクスプロイト可能性: - リモートから攻撃可能です。 - 技術的な詳細と公衆利用可能な攻撃ツールが公開されています。 13. MITRE ATT&CKフレームワーク項目: - 攻撃技術T1505を使用します。 14. 推奨事項: - 影響を受けるコンポーネントの入れ替えを推奨します。 15. 関連リンク: - GitHub: github.com - CVE識別子: CVE-2024-8347 16. エクスプロイトのダウンロード: - GitHubから攻撃ツールをダウンロード可能です。 17. 潜在的な緩和策: - 既知の緩和策はありません。影響を受けるコンポーネントの入れ替えを推奨します。