从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞名称:Allegra renderFieldMatch Deserialization of Untrusted Data Remote Code Execution Vulnerability 2. 漏洞编号:ZDI-24-106, ZDI-CAN-22505 3. CVE ID:CVE-2023-51641 4. CVSS Score:9.8 5. 受影响的厂商:Allegra 6. 受影响的产品:Allegra 7. 漏洞详情: - 远程攻击者可以利用此漏洞在受影响的Allegra安装上执行任意代码。 - 虽然需要认证才能利用此漏洞,但产品实现了一个注册机制,可以创建一个具有足够权限级别的用户。 - 问题存在于renderFieldMatch方法中,由于用户提供的数据缺乏适当的验证,导致不信任数据的反序列化。攻击者可以利用此漏洞在本地服务上下文中执行代码。 8. 额外详情: - Allegra已发布更新以修复此漏洞。 - 更多详细信息可以在以下链接中找到:https://www.trackplus.com/en/service/release-notes-reader/7-5-1-release-notes-2.html 9. 披露时间线: - 2023-12-06 - 漏洞报告给厂商 - 2024-02-09 - 协调公开发布漏洞公告 - 2024-07-01 - 更新公告 10. 信用:06fe5fd2bc53027c4a3b7e395af0b850e7b8a044 这些信息提供了关于漏洞的详细描述,包括漏洞的严重性、受影响的系统和厂商,以及如何利用漏洞的详细技术信息。