一、 漏洞 CVE-2023-45163 基础信息
漏洞标题
1E-Exchange-CommandLinePing 在 v18.1 之前的版本允许任意代码执行
来源:AIGC 神龙大模型
漏洞描述信息
## 漏洞概述
1E-Exchange-CommandLinePing 指令存在输入验证不足的问题,允许通过精心设计的输入执行任意代码,并获取 SYSTEM 权限。此指令仅在 Windows 客户端上运行。
## 影响版本
涉及 Network 产品包中的 1E-Exchange-CommandLinePing 指令,旧版本易受攻击。
## 细节
- 漏洞位于 1E-Exchange-CommandLinePing 指令。
- 输入验证过程存在缺陷。
- 攻击者可以通过精心设计的输入执行任意代码。
- 攻击者可获取 SYSTEM 级权限。
## 影响
- 攻击者可能会利用此漏洞在 Windows 客户端上执行任意代码,并获取 SYSTEM 权限。
- 建议立即更新 Network 产品包至 v18.1 版本。
## 修复措施
从 1E Exchange 下载更新后的 Network 产品包,并使用 1E 平台指令上传 UI 更新 1E-Exchange-CommandLinePing 指令到 v18.1 版本。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
输入验证不恰当
来源:AIGC 神龙大模型
漏洞标题
1E-Exchange-CommandLinePing instruction before v18.1 allows for arbitrary code execution
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The 1E-Exchange-CommandLinePing instruction that is part of the Network product pack available on the 1E Exchange does not properly validate the input parameter, which allows for a specially crafted input to perform arbitrary code execution with SYSTEM permissions. This instruction only runs on Windows clients.
To remediate this issue download the updated Network product pack from the 1E Exchange and update the 1E-Exchange-CommandLinePing instruction to v18.1 by uploading it through the 1E Platform instruction upload UI
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
输入验证不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
1E Platform 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
1E Platform是1E公司的一种终端端点管理和自动化解决方案。 1E Platform v18.1之前版本存在安全漏洞,该漏洞源于指令无法正确验证输入参数,允许特制输入以系统权限执行任意代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-45163 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2023-45163 的情报信息
- https://https://exchange.1e.com/product-packs/network/
-
标题: CVE Info - 1E -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2023-45163