一、 漏洞 CVE-2020-17354 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在2.24之前的LilyPond版本中,允许攻击者通过输出-def-lookup或输出-def-scope绕过-dsafe保护机制,而危险Scheme代码(例如在.ly文件中)的表现就是,在转换到不同文件格式时导致任意代码执行。请注意:在2.24及其后续版本中,安全模式被移除,产品不再试图在使用外部文件时阻止代码执行。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
LilyPond before 2.24 allows attackers to bypass the -dsafe protection mechanism via output-def-lookup or output-def-scope, as demonstrated by dangerous Scheme code in a .ly file that causes arbitrary code execution during conversion to a different file format. NOTE: in 2.24 and later versions, safe mode is removed, and the product no longer tries to block code execution when external files are used.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
LilyPond 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
LilyPond是一套开源的音乐雕版软件。 LilyPond 2.24之前版本存在安全漏洞,该漏洞源于通过output-def-lookup或output-def-scope绕过保护机制,攻击者利用该漏洞可以导致任意代码执行。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2020-17354 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2020-17354 的情报信息