Azure IoT Platform Device SDK Remote Code Execution Vulnerability 漏洞信息(CVE-2024-25110)

一、漏洞 CVE-2024-25110 基础信息

漏洞标题

Azure IoT平台设备SDK远程代码执行漏洞

来源：AIGC 神龙大模型

漏洞描述信息

UAMQP是一个用于AMQP 1.0的通用C库。在调用open_get_offered_capabilities时，可能会出现内存分配失败的情况，从而导致使用后释放（use-after-free）的问题。如果客户端在此连接通信期间调用了该函数，可能导致远程代码执行。建议用户更新带有提交`30865c9c`的子模块。对于这个漏洞，目前没有已知的工作绕过方法。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

来源：AIGC 神龙大模型

漏洞类别

释放后使用

来源：AIGC 神龙大模型

漏洞标题

Azure IoT Platform Device SDK Remote Code Execution Vulnerability

来源：美国国家漏洞数据库 NVD

漏洞描述信息

The UAMQP is a general purpose C library for AMQP 1.0. During a call to open_get_offered_capabilities, a memory allocation may fail causing a use-after-free issue and if a client called it during connection communication it may cause a remote code execution. Users are advised to update the submodule with commit `30865c9c`. There are no known workarounds for this vulnerability.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

来源：美国国家漏洞数据库 NVD

漏洞类别

对生成代码的控制不恰当(代码注入)

来源：美国国家漏洞数据库 NVD

漏洞标题

UAMQP 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

UAMQP是AMQP 的通用 C 库。 UAMQP 2023-12-01之前版本存在安全漏洞，该漏洞源于调用open_get_offered_cabilities期间存在释放后重用漏洞。攻击者可利用该漏洞执行远程代码。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

其他

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2024-25110 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2024-25110 的情报信息

https://github.com/Azure/azure-uamqp-c/security/advisories/GHSA-c646-4whf-r67v x_refsource_CONFIRM
https://github.com/Azure/azure-uamqp-c/commit/30865c9ccedaa32ddb036e87a8ebb52c3f18f695 x_refsource_MISC
https://nvd.nist.gov/vuln/detail/CVE-2024-25110

一、 漏洞 CVE-2024-25110 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2024-25110 的公开POC

三、漏洞 CVE-2024-25110 的情报信息

一、漏洞 CVE-2024-25110 基础信息