一、 漏洞 CVE-2023-5719 基础信息
漏洞标题
Red Lion Crimson未正当地中和空字符或NUL字符
来源:AIGC 神龙大模型
漏洞描述信息
## 漏洞概述 Crimson 3.2 Windows版配置工具允许具有管理员权限的用户设置新密码并下载安全配置到设备。若密码包含百分比(%)字符,则可能会生成无效值,如果遇到NUL字符,字符串将被截断。简化后的密码未被管理员检测到时,设备将因为更容易被破解的凭证而处于脆弱状态。 ## 影响版本 - Crimson 3.2 ## 细节 当用户通过Crimson 3.2 Windows配置工具设置包含百分比(%)字符的密码时,该工具会生成无效值,可能在遇到NUL字符时截断密码字符串。这将导致密码被简化,如果此问题未被管理员识别,则可能导致设备被留有更易被破解的凭证。 ## 影响 - 设备可能会因为被简化且未经检测的密码变得脆弱。 - 通过Crimson系统web服务器输入的密码不受此漏洞影响。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
弱口令要求
来源:AIGC 神龙大模型
漏洞标题
Red Lion Crimson Improper Neutralization of Null Byte or NUL Character
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Crimson 3.2 Windows-based configuration tool allows users with administrative access to define new passwords for users and to download the resulting security configuration to a device. If such a password contains the percent (%) character, invalid values will be included, potentially truncating the string if a NUL is encountered. If the simplified password is not detected by the administrator, the device might be left in a vulnerable state as a result of more-easily compromised credentials. Note that passwords entered via the Crimson system web server do not suffer from this vulnerability.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
空字节或NULL字符转义处理不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
Red Lion Controls Crimson 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Red Lion Controls Crimson是美国红狮控制(Red Lion Controls)公司的一套人机界面编程软件。 Red Lion Controls Crimson 3.2 Windows-based configuration tool存在安全漏洞,该漏洞源于允许具有管理访问权限的攻击者为用户定义新密码,并将安全配置下载到设备。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-5719 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2023-5719 的情报信息