关键信息 漏洞类型: Remote Code Execution (远程代码执行) 受影响厂商及产品: - Ligowave UNITY - Ligowave PRO - Ligowave MIMO - Ligowave APC Propeller 易受攻击的版本: - Ligowave UNITY: up to version 6.95-2 - Ligowave PRO: up to version 6.95-1.rt3883 - Ligowave MIMO: up to version 6.95-1.rt2880 - Ligowave APC Propeller: up to version 2-5.95-4.rt3352 修复版本: N/A CVE ID: CVE-2024-4999 CVSS 评分: 4.0 影响: - 攻击者利用漏洞可执行任意命令,获得设备上的提升特权。 描述: - 漏洞存在于Ligowave设备的web-based管理接口中,具体涉及到 和 文件中的命令注入问题。 建议: - 由于产品已到生命周期末期,Ligowave将不会为漏洞打补丁。若无法更换设备,建议限制管理接口的访问,只允许管理和管理跳板服务器访问,以降低被利用风险。 时间线: - 2024-02-05: 首次尝试通过邮件和网络表单进行初始联系。 - 2024-02-06: Ligowave支持确认设备不再受支持。 - 2024-02-13: Ligowave通过邮件请求报告。 - 2024-02-13: 双方就受影响设备进行沟通。 - 2024-03-12: Ligowave支持将支持案例标记为已解决。 - 2024-05-05: 90天披露截止日期。 - 2024-05-16:发布ONEKEY咨询。