关键信息 1. 漏洞名称: - WAVLINK WN530H4/WN530HG4/WN572HG3 UP TO 20221028 INTERNET.CGI SET_IPV6 IPV6OPMODE/IPV6IPADDR/IPV6WANIPADDR/IPV6GWADDR COMMAND INJECTION 2. 漏洞编号: - CVE-2024-10429 3. 受影响的设备: - WAVLINK WN530H4, WN530HG4, and WN572HG3 up to 20221028 4. 漏洞描述: - 漏洞存在于internet.cgi文件的set_ipv6函数中。 - 通过操纵IPv6opMode/IPV6IPAddr/IPV6WANIPAddr/IPV6GWAddr参数,使用未知输入会导致命令注入漏洞。 - CWE分类为CWE-77。 - 该产品使用外部影响输入构建命令,但未正确中和或未中和特殊元素,这些元素可能会在发送到下游组件时修改命令。 5. 影响: - 影响机密性、完整性和可用性。 6. CVSS Meta Temp Score: - 6.8 7. 当前利用价格: - $0-$5k 8. CTI兴趣评分: - 1.55 9. 漏洞详情: - 漏洞是通过远程攻击利用的。 - 已公开披露,可能被利用。 - 供应商在早期收到了披露通知,但未回应。 10. 漏洞利用: - 可以通过下载链接获取漏洞利用工具。 - 该漏洞被标记为“proof-of-concept”。 11. 参考链接: - docs.google.com 总结 这个漏洞是一个命令注入漏洞,存在于WAVLINK WN530H4/WN530HG4/WN572HG3设备的internet.cgi文件中。通过操纵特定参数,攻击者可以远程执行任意命令。该漏洞的CVSS评分较低,但因其可能的严重性,仍需警惕。