未能检查来自广播地址的数据包可能导致 Meshtastic 固件遭受 DDoS 放大攻击 (CVE-2024-51500)
CVE编号
CVE-2024-51500利用情况
暂无补丁情况
N/A披露时间
2024-11-05漏洞描述
Meshtastic固件是Meshtastic项目的设备固件。Meshtastic固件不检查声称来自特殊广播地址(0xFFFFFFFF)的数据包,这可能导致意外行为和潜在的网络DDoS攻击风险。恶意攻击者可以制作一个声称来自该地址的数据包,这将导致网络中的每个节点都发送多条消息,从而放大此单一消息。这种攻击可能会导致所有用户的网络性能下降,因为可用带宽被占用。这个问题已在版本2.5.6中得到解决。建议所有用户进行升级。对于此漏洞,没有已知的解决方法。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/meshtastic/firmware/security/advisories/GHSA-xfmq-5j3j-vgv8 |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
| CWE-138 | 对特殊元素的转义处理不恰当 |
| CWE-159 | 特殊元素净化处理不恰当 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论