一、 漏洞 CVE-2024-42469 基础信息
漏洞标题
受openHAB影响的CometVisu后端存在通过路径遍历来实现远程代码执行(RCE)的安全漏洞。
来源:AIGC 神龙大模型
漏洞描述信息
openHAB,一家提供开源家庭自动化软件的提供商,包含名为CometVisu的插件。在版本4.2.1之前,CometVisu的文件系统终点无需认证,并且更新现有文件的终点易受路径遍历攻击。这使得攻击者有可能覆盖openHAB实例上的现有文件。如果被覆盖的文件是一个稍后执行的shell脚本,则此漏洞可能允许攻击者进行远程代码执行。用户应升级到版本4.2.1以接收补丁。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:AIGC 神龙大模型
漏洞标题
CometVisu Backend for openHAB affected by RCE through path traversal
来源:美国国家漏洞数据库 NVD
漏洞描述信息
openHAB, a provider of open-source home automation software, has add-ons including the visualization add-on CometVisu. Prior to version 4.2.1, CometVisu's file system endpoints don't require authentication and additionally the endpoint to update an existing file is susceptible to path traversal. This makes it possible for an attacker to overwrite existing files on the openHAB instance. If the overwritten file is a shell script that is executed at a later time, this vulnerability can allow remote code execution by an attacker. Users should upgrade to version 4.2.1 to receive a patch.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:美国国家漏洞数据库 NVD
漏洞标题
openHAB 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
openHAB是openHAB开源的一款家庭自动化应用程序。 openHAB 4.2.1之前版本存在安全漏洞,该漏洞源于CometVisu组件用于更新现有文件的端点容易受到路径遍历的影响,使得攻击者可以覆盖实例上的现有文件,可能允许攻击者远程执行代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-42469 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-42469 的情报信息