一、 漏洞 CVE-2024-20418 基础信息
漏洞标题
思科Ultra-Reliable 无线回传软件命令注入漏洞
来源:AIGC 神龙大模型
漏洞描述信息
在思科Ultra-可靠无线回传(URWB)接入点的思科统一工业无线软件的基于Web的管理界面中存在一个漏洞,该漏洞可能允许未认证的远程攻击者在底层操作系统上以root权限执行命令注入攻击。 此漏洞是由于对基于Web的管理界面输入的验证不当所致。攻击者可以通过向受影响系统的基于Web的管理界面发送精心构造的HTTP请求来利用此漏洞。如果成功利用此漏洞,攻击者将能够在受影响设备的底层操作系统上以root权限执行任意命令。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:AIGC 神龙大模型
漏洞标题
Cisco Ultra-Reliable Wireless Backhaul Software Command Injection Vulnerability
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability in the web-based management interface of Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Points could allow an unauthenticated, remote attacker to perform command injection attacks with root privileges on the underlying operating system. This vulnerability is due to improper validation of input to the web-based management interface. An attacker could exploit this vulnerability by sending crafted HTTP requests to the web-based management interface of an affected system. A successful exploit could allow the attacker to execute arbitrary commands with root privileges on the underlying operating system of the affected device.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
在命令中使用的特殊元素转义处理不恰当(命令注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
Cisco Unified Industrial Wireless Software 命令注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Cisco Unified Industrial Wireless Software是美国思科(Cisco)公司的专为工业环境设计的无线软件,它支持高可用性、低延迟和零数据包丢失,适用于移动机器和其他资产的无线连接。 Cisco Unified Industrial Wireless Software存在命令注入漏洞,该漏洞源于对基于Web的管理界面的输入验证不当。未经身份验证的远程攻击者以root权限对底层操作系统执行命令注入攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
命令注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-20418 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-20418 的情报信息