一、 漏洞 CVE-2024-50372 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在Advantech制造的EKI-6333AC-2G (<= 1.6.3)、EKI-6333AC-2GD (<= v1.6.3) 和 EKI-6333AC-1GPO (<= v1.2.1) 设备中发现了一个与CWE-78 "操作系统命令中特殊元素的不当中和(操作系统命令注入)"相关的漏洞。该漏洞可被远程未认证用户利用,这些用户能够与访问点上默认启用的 "edgserver" 服务进行交互,并以root权限执行恶意命令。该服务未启用认证,漏洞源在于与"backup_config_to_utility"操作相关的处理代码中。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A CWE-78 "Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')" was discovered affecting the following devices manufactured by Advantech: EKI-6333AC-2G (<= 1.6.3), EKI-6333AC-2GD (<= v1.6.3) and EKI-6333AC-1GPO (<= v1.2.1). The vulnerability can be exploited by remote unauthenticated users capable of interacting with the default "edgserver" service enabled on the access point and malicious commands are executed with root privileges. No authentication is enabled on the service and the source of the vulnerability resides in processing code associated to the "backup_config_to_utility" operation.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
Advantech EKI-6333AC-2G和Advantech EKI-6333AC-2GD 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Advantech EKI-6333AC-2G和Advantech EKI-6333AC-2GD都是中国研华(Advantech)公司的一款工业级 无线接入点(AP)。 Advantech EKI-6333AC-2G 1.6.3版本及之前版本、EKI-6333AC-2GD v1.6.3版本及之前版本和EKI-6333AC-1GPO v1.2.1版本及之前版本存在安全漏洞,该漏洞源于对使用的特殊元素中和不当。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-50372 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-50372 的情报信息