脆弱性情報
高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
luci-app-tailscale-community - Command Injection via tailscale.do_login RPC
脆弱性説明
luci-app-tailscale-community contains a command injection vulnerability in the tailscale.do_login RPC method that allows authenticated users to execute arbitrary commands as root. The vulnerability exists because user-controlled loginserver and loginserver_authkey parameters are improperly quoted within a double-quoted shell command, allowing shell substitutions like $() to be evaluated by the outer shell before argument processing.
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
脆弱性タイプ
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
脆弱性タイトル
OpenWRT luci 命令注入漏洞
脆弱性説明
OpenWRT luci是OpenWRT社区开源的一款路由器配置界面。 OpenWRT luci 0.11.1及之前版本存在命令注入漏洞,该漏洞源于tailscale.do_login RPC方法中用户控制的loginserver和loginserver_authkey参数在双引号shell命令中引用不当,允许外部shell在参数处理前评估shell替换,可能导致认证用户以root权限执行任意命令。
CVSS情報
N/A
脆弱性タイプ
N/A