一、 漏洞 CVE-2024-38433 基础信息
漏洞标题
"南科 - CWE-305:通过主要弱点绕过身份验证"
来源:AIGC 神龙大模型
漏洞描述信息
新唐 - CWE-305:通过主要弱点绕过身份验证
拥有使用新唐 BootBlock 参考代码的 NPCM7xx BMC 子系统的 SPI-Flash 写入权限的攻击者可以通过修改 BootBlock 在闪存中解析的 u-boot 图像头,从而导致任意代码执行。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
认证机制不恰当
来源:AIGC 神龙大模型
漏洞标题
Nuvoton - CWE-305: Authentication Bypass by Primary Weakness
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Nuvoton - CWE-305: Authentication Bypass by Primary Weakness
An attacker with write access to the SPI-Flash on an NPCM7xx BMC subsystem that uses the Nuvoton BootBlock
reference code can modify the u-boot image header on flash parsed by the BootBlock which could lead to arbitrary code
execution.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
使用基本弱点进行的认证绕过
来源:美国国家漏洞数据库 NVD
漏洞标题
Nuvoton NPCM7xx 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Nuvoton NPCM7xx是中国新唐(Nuvoton)公司的一款服务器远程管理控制芯片。 Nuvoton NPCM7xx (Poleg) BootBlock v10.10.19之前版本存在安全漏洞,该漏洞源于通过主要弱点绕过身份验证,如果攻击者具有对SPI-Flash的写访问权限,便可以修改由BootBlock解析的u-boot镜像头,导致任意代码执行。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-38433 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
