1000 项目考勤跟踪管理系统中SQL注入漏洞CVE-2024-12927

1000 Projects是一个开源项目集合，旨在帮助开发者通过解决实际问题提升编程技能，项目由Vicky002创建并维护，托管在GitCode平台。

1000 Projects 包含多个小型项目，覆盖初级到高级各种难度级别，通过正规和非正规的交付系统，开展技术、人力资源开发计划和项目。

一、基本情况

1000 Projects 涵盖多种语言和技术栈，Python、JavaScript、HTML/CSS、Java、C++，应用Django、React、Node.js等流行框架和库。

栋科技漏洞库关注到1000 Projects Attendance Tracking Management System的SQL注入漏洞，追踪CVE-2024-12927，CVSS评分7.1。

二、漏洞分析

CVE-2024-12927是1000 Projects Attendance Tracking Management System受影响版本存在的一个SQL注入漏洞，具体而言是1.0版本。

受此问题影响的是1000 Projects Attendance Tracking Management System中的文件的 /faculty/check_faculty_login.php的未知代码块中。

该漏洞是“/faculty/check_faculty_login.php”文件中发现的 SQL 注入漏洞，攻击者通过操纵参数 faculty_emailid 可能导致 SQL 注入攻击。

造成该漏洞的原因是攻击者可以从参数“faculty_emailid”注入恶意代码，并可直接在 SQL 查询中使用它，而不需要进行适当的清理或验证。

攻击者利用漏洞实现数据库越权访问、敏感数据泄露、数据篡改、系统全面控制甚至服务中断，对系统安全和业务连续性造成严重威胁。

三、漏洞复现

1、POC代码

2、使用sqlmap工具测试运行得到的一些具体信息截图：

三、影响范围

1000 Projects Attendance Tracking Management System v1.0

四、修复建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

五、参考链接

此处内容已隐藏，评论后刷新即可查看！