mRemoteNG 安全漏洞(CVE-2023-30367)
CVE编号
CVE-2023-30367利用情况
暂无补丁情况
N/A披露时间
2023-07-27漏洞描述
Multi-Remote Next Generation Connection Manager(mRemoteNG)是一个免费的软件,它使用户能够存储和管理多协议连接配置以远程连接系统。mRemoteNG配置文件可以以加密状态存储在磁盘上。mRemoteNG版本<=v1.76.20和<= 1.77.3-dev在应用程序启动时将配置文件以明文加载到内存中(在必要时解密它们),即使没有建立连接也是如此。这使攻击者可以通过内存转储访问配置文件中的明文内容,从而在没有设置自定义密码加密密钥时破坏用户凭证。这也通过从内存中转储已解密的配置来绕过连接配置文件加密设置。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | mremoteng | mremoteng | * | Up to (including) 1.76.20 | |||||
| 运行在以下环境 | |||||||||
| 应用 | mremoteng | mremoteng | 1.77.2-nb | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | mremoteng | mremoteng | 1.77.3-nb | - | |||||
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 无
- 保密性 高
- 完整性 无
| CWE-ID | 漏洞类型 |
| CWE-312 | 敏感数据的明文存储 |
Exp相关链接
- avd.aliyun.com
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论