一、 漏洞 CVE-2024-46894 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在SINEC INS (所有版本 < V1.0 SP2 Update 3) 中发现了一个漏洞。受影响的应用程序未能正确验证用户对查询“/api/sftp/users”端点的授权。这可能会使认证的远程攻击者能够获取SFTP服务配置用户列表的信息,并且修改该配置。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
授权机制缺失
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability has been identified in SINEC INS (All versions < V1.0 SP2 Update 3). The affected application does not properly validate authorization of a user to query the "/api/sftp/users" endpoint. This could allow an authenticated remote attacker to gain knowledge about the list of configured users of the SFTP service and also modify that configuration.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
信息暴露
来源:美国国家漏洞数据库 NVD
漏洞标题
Siemens SINEC INS 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Siemens SINEC INS是德国西门子(Siemens)公司的一款为网络基础设施提供中央服务的软件。 Siemens SINEC INS存在安全漏洞,该漏洞源于受影响的应用程序不会正确验证用户查询 /api/sftp/users 端点的权限。这可能允许经过身份验证的远程攻击者了解 SFTP 服务的配置用户列表并修改该配置。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-46894 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
