脆弱性情報
高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
Sliver has a DNS C2 OTP Bypass Allows Unauthenticated Session Flooding and Denial of Service
脆弱性説明
Sliver is a command and control framework that uses a custom Wireguard netstack. Prior to 1.7.0, the DNS C2 listener accepts unauthenticated TOTP bootstrap messages and allocates server-side DNS sessions without validating OTP values, even when EnforceOTP is enabled. Because sessions are stored without a cleanup/expiry path in this flow, an unauthenticated remote actor can repeatedly create sessions and drive memory exhaustion. This vulnerability is fixed in 1.7.0.
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
脆弱性タイプ
关键功能的认证机制缺失
脆弱性タイトル
Sliver 资源管理错误漏洞
脆弱性説明
Sliver是Bishop Fox开源的一个开源的跨平台对手模拟/红队框架。可以被各种规模的组织用来执行安全测试。 Sliver 1.7.0之前版本存在资源管理错误漏洞,该漏洞源于DNS C2侦听器接受未经验证的TOTP引导消息且未清理会话,可能导致内存耗尽。
CVSS情報
N/A
脆弱性タイプ
N/A