N/A

admin

0
文章

0
评论

2024-10-25 00:33:00 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

CVE编号

CVE-2024-9677

利用情况

暂无

补丁情况

N/A

披露时间

2024-10-22

漏洞描述

对于美国网关FLEX H系列uOS固件版本V1.21及更早版本的CLI命令存在保护不足的凭据漏洞，允许经过身份验证的本地攻击者通过窃取登录管理员的身份验证令牌来获得权限提升。需要注意的是，只有当管理员未注销时，这种攻击才可能成功。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-ad...

攻击路径本地
攻击复杂度低
权限要求低
影响范围未更改
用户交互无
可用性无
保密性高
完整性无

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

CWE-ID	漏洞类型
CWE-522	不充分的凭证保护机制

- avd.aliyun.com

本站原创文章转载请注明文章出处及链接，谢谢合作！

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带

ZONE.CI 全球网

安全领域涉猎者-乌云独行地带

ZONE.CI 全球网

Plugins

WordPress

Web前端

设计资源

N/A

N/A

漏洞描述

解决建议

参考链接

N/A

TeploBot - 适用于 WP <= 1.3 的 Telegram Bot - Telegram Bot 令牌披露 (CVE-2024-9627)

Rover IDX <= 3.0.0.2905 - 已验证 (Subscriber+) 身份验证绕过管理员 (CVE-2024-10002)

Rover IDX <= 3.0.0.2903 — 已通过身份验证 (Subscriber+) 缺少通过多个功能获得的授权 (CVE-2024-10003)

All-in-One WP Migration and Backup <= 7.86 - 通过错误日志进行未经身份验证的信息泄露 (CVE-2024-8852)

媒体：pci：cx23885：检查 cx23885_vdev_init() 返回 (CVE-2023-52918)

nfc：nci：修复 send_acknowledge() 中可能出现的 NULL 指针取消引用（CVE-2023-52919）

News Kit Elementor Addons <= 1.2.1 - 通过 Canvas 菜单 Elementor 模板暴露经过身份验证 (Contributor+) 敏感信息 (CVE-2

类别和分类元字段 <= 1.0.0 - 跨站请求伪造到分类元添加/删除 (CVE-2024-9588)

类别和分类元字段 <= 1.0.0 - 已验证 (Editor+) 存储的跨站点脚本 (CVE-2024-9590)

ZONE.CI 全球网

Plugins

WordPress

Web前端

设计资源

N/A

漏洞描述

解决建议

参考链接

Exp相关链接

ZONE.CI 全球网