【漏洞通告】Cleo 远程代码执行漏洞 ( CVE-2024-50623 )

文章预览

一、漏洞 概述 漏洞名称 Cleo远程代码执行漏洞    CVE   ID CVE-2024-50623 漏洞类型 文件上传和下载 发现时间 2024-12-13 漏洞评分 8.8 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用户交互 是 PoC/EXP 已公开 在野利用 已发现 Cleo LexiCom、VLTransfer 和 Harmony 都是用于数据传输、企业集成和电子数据交换（EDI）等任务的软件工具，主要应用于企业间的文件交换、供应链管理等领域。 2024年12月13日，启明星辰集团VSRC监测到Cleo LexiCom、VLTransfer和 Harmony产品中存在一个远程代码执行漏洞（CVE-2024-50623），其CVSS评分为8.8，目前该漏洞的利用细节及PoC已公开，且已发现被利用。 Cleo LexiCom、VLTransfer 和 Harmony软件中存在不受限制的文件上传和下载漏洞，由于缺乏对上传文件和下载功能的适当验证和限制，攻击者可能利用该漏洞上传恶意文件并可能利用系统的访问/ ………………………………