一、 漏洞 CVE-2024-4699 基础信息
漏洞标题
D-Link DAR-8000-10 importhtml.php 反序列化
来源:AIGC 神龙大模型
漏洞描述信息
**分配时不受支持** 在D-Link DAR-8000-10版本 up to 20230922中发现了一个被列为关键的漏洞。这个问题影响了文件/importhtml.php的某些未知处理。操纵参数sql导致反序列化。攻击可以远程发起。与该漏洞关联的标识符是VDB-263747。注意:此漏洞仅影响维护者不再支持的产品。注意:供应商已 early 联系并立即确认该产品已到生命周期结束。应退役并替换该产品。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
可信数据的反序列化
来源:AIGC 神龙大模型
漏洞标题
D-Link DAR-8000-10 importhtml.php deserialization
来源:美国国家漏洞数据库 NVD
漏洞描述信息
** UNSUPPORTED WHEN ASSIGNED ** A vulnerability, which was classified as critical, has been found in D-Link DAR-8000-10 up to 20230922. This issue affects some unknown processing of the file /importhtml.php. The manipulation of the argument sql leads to deserialization. The attack may be initiated remotely. The associated identifier of this vulnerability is VDB-263747. NOTE: This vulnerability only affects products that are no longer supported by the maintainer. NOTE: Vendor was contacted early and confirmed immediately that the product is end-of-life. It should be retired and replaced.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
可信数据的反序列化
来源:美国国家漏洞数据库 NVD
漏洞标题
D-Link DAR-8000 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
D-Link DAR-8000是中国友讯(D-Link)公司的上网行为审计网关。 D-Link DAR-8000-10 20230922及之前版本存在代码问题漏洞,该漏洞源于文件/importhtml.php的参数sql会导致反序列化。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-4699 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-4699 的情报信息
- https://github.com/I-Schnee-I/cev/blob/main/D-LINK-DAR-8000-10_rce_importhtml.md related
-
- https://vuldb.com/?ctiid.263747 signature permissions-required
- https://vuldb.com/?id.263747 vdb-entry technical-description
- https://vuldb.com/?submit.331311 third-party-advisory
- https://nvd.nist.gov/vuln/detail/CVE-2024-4699