从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞编号:TALOS-2024-2060 2. 漏洞名称:Veertu Anka Build node agent update privilege escalation vulnerability 3. 发布日期:October 3, 2024 4. CVE编号:CVE-2024-39755 5. 漏洞描述:一个特权提升漏洞存在于Veertu Anka Build 1.42.0中。该漏洞发生在Anka节点代理更新期间。低权限用户可以触发更新操作,导致权限意外提升。 6. 受影响版本:Veertu Anka Build 1.42.0 7. 产品URL:https://veertu.com/anka-build/ 8. CVSSv3评分:7.8 - CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 9. CWE编号:CWE-282 - Improper Ownership Management 10. 详细信息: - Anka Build是一个为macOS虚拟化设计的软件工具,用于测试macOS或iOS应用程序在CI/CD环境中的性能。 - Anka Build由三个主要组件组成:控制器、注册表和节点。 - 当节点加入控制器或节点更新时,一个低权限用户可以利用这个漏洞,通过在/tmp目录中创建一个名为 的文件,然后在节点更新时替换实际的Anka代理PKG文件。 - 该漏洞允许低权限用户通过在/tmp目录中创建一个名为 的文件,然后在节点更新时替换实际的Anka代理PKG文件。 11. 修复情况:已修复在Anka Build Cloud的1.43.0版本中。 12. 时间线: - 2024-08-12:供应商披露 - 2024-08-12:初步供应商联系 - 2024-09-30:供应商补丁发布 - 2024-10-03:公共发布 13. 发现者:KPC of Cisco Talos 这些信息提供了关于漏洞的详细描述、受影响的版本、修复情况以及时间线等关键信息。