一、 漏洞 CVE-2024-39342 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
Entrust Instant Financial Issuance(以前称为Cardwizard)6.10.0、6.9.0、6.9.1、6.9.2 和 6.8.x 以及更早版本使用了一个DLL库(即DCG.Security.dll),该库采用自定义的AES加密过程,依赖静态硬编码的密钥值。这些密钥并未针对软件的每个安装实例进行唯一生成。结合CVE-2024-39341中可以从"WebAPI.cfg.xml"获取的加密密码,解密过程变得非常简单,可能导致Windows主机上的权限提升。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
使用硬编码的凭证
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Entrust Instant Financial Issuance (formerly known as Cardwizard) 6.10.0, 6.9.0, 6.9.1, 6.9.2, and 6.8.x and earlier uses a DLL library (i.e. DCG.Security.dll) with a custom AES encryption process that relies on static hard-coded key values. These keys are not uniquely generated per installation of the software. Combined with the encrypted password that can be obtained from "WebAPI.cfg.xml" in CVE-2024-39341, the decryption is trivial and can lead to privilege escalation on the Windows host.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Entrust Instant Financial Issuance 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Entrust Instant Financial Issuance(Entrust Cardwizard)是美国Entrust公司的一个即时金融卡发行解决方案。 Entrust Instant Financial Issuance存在安全漏洞,该漏洞源于加密密码易被破解。攻击者利用该漏洞可以提升权限。以下版本受到影响:6.10.0版本、6.9.0版本、6.9.1版本、6.9.2版本和6.8.x版本及之前版本。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-39342 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-39342 的情报信息
-
-
-
标题: Instant Financial Issuance (On Premise) Software (formerly CardWizard) - Sensitive Information Disclosure (CVE-2024-39341) / Hardcoded Cryptographic Keys (CVE-2024-39342) · GitHub -- 🔗来源链接
标签:
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2024-39342