关键信息 1. 漏洞编号: - VDB-276272 - CVE-2024-8368 2. 漏洞名称: - Code-Projects Hospital Management System 1.0 Login Index.php Username SQL Injection 3. CVSS Meta Temp Score: - 6.9 4. 当前漏洞价格: - $0-$5k 5. CTI Interest Score: - 3.92 6. 受影响的组件: - code-projects Hospital Management System 1.0 - Login 7. 受影响的文件: - index.php 8. 漏洞描述: - 漏洞存在于index.php文件的Login组件中,通过用户名参数接受未知输入,导致SQL注入漏洞。 - 使用CWE-89描述问题。 - 产品使用外部影响的输入构造SQL命令,但未正确中和或未中和特殊元素,可能导致下游组件修改SQL命令。 - 影响了机密性、完整性和可用性。 9. 漏洞利用: - 可以远程利用。 - 已公开披露,可能被利用。 10. 漏洞编号: - CVE-2024-8368 11. 漏洞类型: - SQL注入 12. 漏洞严重性: - 严重 13. 漏洞利用难度: - 容易 14. 漏洞利用方式: - 无需认证 15. 技术细节: - 已公开 16. MITRE ATT&CK项目: - T1505 17. 漏洞利用工具: - 证明概念 - 可通过Google Hacking搜索index.php找到易受攻击的目标 18. 建议措施: - 可能需要替换受影响的组件 19. 相关漏洞: - VDB-268901, VDB-269162, VDB-269620, VDB-270392 总结 这个漏洞是一个严重的SQL注入漏洞,存在于Code-Projects Hospital Management System 1.0的Login组件的index.php文件中。通过利用这个漏洞,攻击者可以远程执行SQL命令,从而可能获取敏感信息或控制系统。建议尽快修复这个漏洞,以防止潜在的安全风险。