关键漏洞信息 漏洞名称: Blood Bank & Donor Management 5.6 Request-received-bydonar.php SQL Injection 漏洞ID: - VDB-250564 - CVE-2024-0459 - GCVE-100-250564 摘要: - 血库及献血管理软件5.6版本中存在一个被标记为“严重”的漏洞。 - 漏洞影响文件 中的未知函数。 - 执行操纵可能导致SQL注入。 - 攻击可以远程发起,并且存在可用的漏洞利用程序。 细节: - 漏洞影响Blood Bank & Donor Management 5.6(银行软件),并被分类为严重。 - 漏洞影响文件 中的未知处理过程。 - 使用来自上游组件的外部影响输入构造SQL命令的一部分或全部,但未正确中和可能修改预期SQL命令的特殊元素,导致SQL注入漏洞。 - CWE定义漏洞为CWE-89。 - 影响保密性、完整性和可用性。 相关技术信息: - 漏洞于2024年1月12日被共享,技术细节和公共漏洞利用程序已知。 - MITRE ATT&CK项目将攻击技术标记为T1505。 - 可以在drive.google.com下载漏洞利用程序,该程序被声明为概念验证。 - 通过Google Hacking可以找到易受攻击的目标: 缓解措施: - 无已知的可能对策。 - 建议用替代产品替换受影响的组件。