TDuckCloud TDuckPro password recovery 漏洞信息(CVE-2024-8692)

一、漏洞 CVE-2024-8692 基础信息

漏洞标题

TDuckCloud TDuckPro 密码找回

来源：AIGC 神龙大模型

漏洞描述信息

在TDuckCloud TDuckPro版本6.3及以前的版本中发现了一个被评为关键的漏洞。受影响的功能未知。通过利用这个漏洞，可以导致弱密码恢复。攻击可以在远程进行。已公开披露的漏洞可以被利用。该供应商在披露这个漏洞时被早前通知，但未以任何方式响应。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

来源：AIGC 神龙大模型

漏洞类别

弱口令要求

来源：AIGC 神龙大模型

漏洞标题

TDuckCloud TDuckPro password recovery

来源：美国国家漏洞数据库 NVD

漏洞描述信息

A vulnerability classified as critical was found in TDuckCloud TDuckPro up to 6.3. Affected by this vulnerability is an unknown functionality. The manipulation leads to weak password recovery. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. The vendor was contacted early about this disclosure but did not respond in any way.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

忘记口令恢复机制弱

来源：美国国家漏洞数据库 NVD

漏洞标题

TDuckPro 授权问题漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

TDuckCloud TDuckPro是TDuckCloud公司的一款开箱即用的数据收集工具，支持数据收集、问卷调查、预约报名、工作流审批、表单收款、公开查询、OCR图像识别等高阶功能。 TDuckPro 6.3及之前版本存在授权问题漏洞，该漏洞源于未知操纵会导致密码恢复功能变弱，从而远程发起攻击。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

授权问题

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2024-8692 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2024-8692 的情报信息

标题： [Vulnerability] Arbitrary Password Reset in All Versions of Tduckpro – 「配枪朱丽叶。」 -- 🔗来源链接

标签： exploit
神龙速读
标题： Login required -- 🔗来源链接

标签： signature permissions-required
神龙速读
标题： CVE-2024-8692 TDuckCloud TDuckPro password recovery -- 🔗来源链接

标签： vdb-entry
神龙速读
标题： Submit #401715: TDuckCloud TDuckPro 2.0-6.3 Password Reset Disclosure -- 🔗来源链接

标签： third-party-advisory
神龙速读
https://nvd.nist.gov/vuln/detail/CVE-2024-8692