重要情報 1. 脆弱性番号: - VDB-275771 - CVE-2024-8172 2. 脆弱性情報名: - SourceCodester QR Code Attendance System 1.0 - Delete Student Attendance クロスサイトスクリプティング 3. 影響を受けるファイル: - /endpoint/delete-student.php 4. 脆弱性概要: - 不明なファイル処理に関する脆弱性です。 - パラメータを操作することで、クロスサイトスクリプティング(XSS)を引き起こすことができます。 - 本製品は、ユーザーが制御可能な入力を適切に無効化していません(または無効化できていません)。 5. CVSS 中間評価スコア: - 4.3 6. 現在の脆弱性価格: - $0〜$5k 7. CTI 関心スコア: - 1.07 8. 脆弱性の影響: - 完全性に影響します。 9. 脆弱性識別子: - CVE-2024-8172 10. 悪用の難易度: - 悪用が容易であることが知られています。 11. 攻撃経路: - リモートから攻撃が可能です。 - 攻撃には被害者による何らかのユーザー対話が必要です。 12. 技術詳細および公開された脆弱性悪用コード: - 技術詳細および公開された脆弱性悪用コードが知られています。 13. 攻撃手法: - MITRE ATT&CK に従い、T1059.007 技術を使用します。 14. 脆弱性悪用ツールの検出方法: - で検索することで、影響を受ける対象を検出できます。 15. 推奨対応策: - 影響を受けるコンポーネントの交換を推奨します。 まとめ この脆弱性は、SourceCodester QR Code Attendance System 1.0 のファイル処理におけるクロスサイトスクリプティング(XSS)攻撃です。リモートから悪用可能であり、公開された脆弱性悪用コードが存在することが知られています。この脆弱性を修正するためには、影響を受けるコンポーネントの交換を推奨します。