从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞编号:TALOS-2024-1962 2. 漏洞名称:GoCast HTTP API lack of authentication vulnerability 3. 发布日期:November 21, 2024 4. CVE编号:CVE-2024-21855 5. 漏洞描述:GoCast 1.1.3版本的HTTP API存在缺乏身份验证的漏洞。恶意攻击者可以通过构造特殊的HTTP请求来触发此漏洞,从而执行任意命令。 6. 受影响版本:GoCast 1.1.3 7. 产品URL:https://github.com/mayuresh82/gocast 8. CVSSv3评分:9.8 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 9. CWE编号:CWE-306 - Missing Authentication for Critical Function 10. 详细信息: - GoCast使用GoBGP进行BGP路由广告。 - GoCast的HTTP API允许注册和取消注册应用程序,但不支持身份验证。 - API提供了一些关于服务状态的信息,以及应用程序的创建和删除,但没有限制如何配置。 - API的唯一功能是创建和监控应用程序,这使得未保护的API完全控制了服务。 - 应用程序的注册允许攻击者滥用GoCast的BGP功能,创建新的NAT防火墙规则,并选择网络连接或任意脚本作为应用程序的监控的一部分。 - 监控参数特别允许攻击者执行任意命令,因为代码将简单地执行传入的监控参数。 11. 缓解措施: - GoCast用户应禁用HTTP API或将其放在身份验证后。 - GoCast应提供在生产环境中使用API时的敏感性文档,并默认禁用API。 12. 时间线: - 2024-04-02:初始供应商联系 - 2024-04-23:第二次尝试联系供应商 - 2024-04-25:供应商披露 - 2024-05-27:状态请求发送给供应商 - 2024-05-27:供应商回复,补丁即将发布 - 2024-06-24:状态请求发送给供应商 - 2024-07-02:状态请求发送给供应商 - 2024-11-13:即将发布的公告发送给供应商 - 2024-11-21:公共发布 13. 发现者:Edwin Molenaar和Matt Street of Cisco Meraki