文章预览
一、漏洞 概述 漏洞名称 OpenWrt Attended SysUpgrade命令注入漏洞 CVE ID CVE-2024-54143 漏洞类型 命令注入、弱哈希 发现时间 2024-12-10 漏洞评分 9.3 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用户交互 无 PoC/EXP 未公开 在野利用 未发现 OpenWrt是一款基于Linux的嵌入式操作系统,专为路由器和其他网络设备设计。openwrt/asu 是 OpenWrt 项目的一个服务,用于提供 Attended SysUpgrade(ASU)功能,它允许用户创建定制的 OpenWrt 固件镜像,并在升级过程中保留已有的安装包和设置。 2024年12月10日,启明星辰集团VSRC监测到OpenWrt Attended SysUpgrade (ASU) 功能中存在命令注入漏洞和哈希截断问题(追踪为CVE-2024-54143,CVSS评分9.3),目前该漏洞的技术细节已公开披露,详情如下: Imagebuilder命令注入漏洞:由于在镜像构建过程中,用户提供的软件包名称未经适当处理就被
………………………………
