一、 漏洞 CVE-2024-6049 基础信息
漏洞标题
未认证任意文件读取漏洞
来源:AIGC 神龙大模型
漏洞描述信息
Lawo AG vsm LTC Time Sync (vTimeSync) Web服务器存在一个"..."(三个点)路径遍历漏洞。通过发送特制的HTTP请求,未认证的远程攻击者可以下载操作系统中的任意文件。需要注意的是,利用此漏洞的前提是请求的文件必须具有某些文件扩展名,例如.exe或.txt。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:AIGC 神龙大模型
漏洞标题
Unauthenticated Path Traversal
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The web server of Lawo AG vsm LTC Time Sync (vTimeSync) is affected by a "..." (triple dot) path traversal vulnerability. By sending a specially crafted HTTP request, an unauthenticated remote attacker could download arbitrary files from the operating system. As a limitation, the exploitation is only possible if the requested file has some file extension, e. g. .exe or .txt.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
路径遍历:’…’ (三个点号)
来源:美国国家漏洞数据库 NVD
漏洞标题
Lawo AG vsm LTC Time Sync 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Lawo vsm LTC Time Sync(Lawo vTimeSync)是Lawo公司的一款应用程序。 Lawo AG vsm LTC Time Sync 4.5.6.0之前版本存在安全漏洞,该漏洞源于存在路径遍历漏洞,未经身份验证的远程攻击者可以通过发送特制的HTTP请求从操作系统下载任意文件。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-6049 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-6049 的情报信息
-
标题: Unauthenticated Path Traversal Vulnerability in Lawo AG vsm LTC Time Sync (vTimeSync) - SEC Consult -- 🔗来源链接
标签: third-party-advisory
神龙速读
-
- https://nvd.nist.gov/vuln/detail/CVE-2024-6049