从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞编号:TALOS-2024-1960 2. 漏洞名称:GoCast name parameter OS command injection vulnerability 3. 发现日期:November 21, 2024 4. CVE编号:CVE-2024-28892 5. 漏洞描述:存在一个OS命令注入漏洞,攻击者可以通过未授权的HTTP请求触发此漏洞。 6. 受影响版本:GoCast 1.1.3 7. 产品URL:https://github.com/mayuresh82/gocast 8. CVSSv3评分:9.8 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 9. CWE编号:CWE-78 - Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') 10. 详细信息:GoCast使用GoBGP进行BGP路由广告。在GoCast中,当应用程序名称用于创建新的环回接口标签时,会触发注入。此注入可以通过HTTP API触发,但也可以在应用程序通过配置文件定义或添加到Consul集成时触发。由于缺乏身份验证,HTTP API应在大多数环境中禁用或配置为仅通过添加身份验证的代理进行。 11. 缓解措施:GoCast用户应禁用HTTP API或将其放在身份验证之后。如果无法实现,应禁用Consul集成。检查配置文件的文件权限,确保只有root和GoCast用户可以修改文件。 12. 代码示例:展示了如何在GoCast中使用 函数时触发注入。 13. 时间线:从2024年4月2日到2024年11月21日的漏洞发现和处理过程。 14. 发现者:由Matt Street和Edwin Molenaar在Cisco Meraki发现。 这些信息提供了关于漏洞的详细描述、影响范围和缓解措施,有助于理解和应对该漏洞。