一、 漏洞 CVE-2024-23960 基础信息
漏洞标题
Alpine Halo9加密签名验证不当漏洞
来源:AIGC 神龙大模型
漏洞描述信息
Alpine Halo9 存在不当验证加密签名漏洞。此漏洞允许物理接近的攻击者绕过受影响的Alpine Halo9设备上的签名验证机制。利用此漏洞无需身份验证。
具体缺陷存在于固件元数据签名验证机制中。问题源于未能正确验证加密签名。攻击者可以利用此漏洞结合其他漏洞以root权限执行任意代码。
参考编号:ZDI-CAN-23102
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
密码学签名的验证不恰当
来源:AIGC 神龙大模型
漏洞标题
Alpine Halo9 Improper Verification of Cryptographic Signature Vulnerability
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Alpine Halo9 Improper Verification of Cryptographic Signature Vulnerability. This vulnerability allows physically present attackers to bypass signature validation mechanism on affected installations of Alpine Halo9 devices. Authentication is not required to exploit this vulnerability.
The specific flaw exists within the firmware metadata signature validation mechanism. The issue results from the lack of proper verification of a cryptographic signature. An attacker can leverage this in conjunction with other vulnerabilities to execute arbitrary code in the context of root.
Was ZDI-CAN-23102
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
密码学签名的验证不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
Alpine Halo9 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Alpine Halo9是Alpine公司的一款多媒体播放器。 Alpine Halo9存在安全漏洞,该漏洞源于加密签名验证不当。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-23960 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
