根据用户的要求,我需要从提供的网页截图中提取关于漏洞的关键信息,并用简洁的中文markdown格式进行总结。 1. 漏洞概述 (Vulnerability Overview): 标题: NASA CFS UP TO 7.0.0 CCSDS PACKET HEADER TO_LAB_PASSTHRU_ENCODE.C CFE_MSG_GETSIZE HEAP-BASED OVERFLOW CVE编号: CVE-2024-5474 (在标题下方和Summary中都有提到) CVSS评分: 6.1 (Medium/中等) 漏洞类型: Heap-based overflow (堆溢出) 受影响函数: 受影响文件: 受影响组件: CCSDS Packet Header Handler 描述: 这是一个被标记为“critical”(严重)的漏洞。对 函数的操纵可能导致堆溢出。 影响: 影响机密性、完整性和可用性 (confidentiality, integrity, and availability)。 利用难度: 攻击者需要位于本地网络 (The attacker needs to be present on the local network)。没有可用的利用代码 (There is no available exploit)。 2. 影响范围 (Impact/Scope): 软件: NASA CFS (Core Flight System) 版本: 7.0.0 及以下 (UP TO 7.0.0) 具体模块: 中的 函数。 3. 修复方案 (Remediation/Fix): 状态: 项目方已通过问题报告知晓该问题,但尚未响应 (The project was informed of the problem early through an issue report but has not responded yet)。 建议: 页面底部提到 "The advisory is available at github.com",暗示可能需要关注GitHub上的相关公告或补丁,但截图中没有直接给出补丁链接或具体修复步骤。 4. 代码提取 (Code Extraction): 仔细检查截图,没有发现任何POC代码或利用代码块。只有文本描述。 5. 总结构建 (Drafting the summary): 将上述信息整合成简洁的中文markdown。 标题: NASA CFS 堆溢出漏洞 (CVE-2024-5474) 概述: 在 NASA CFS (版本 7.0.0 及以下) 的 文件中, 函数存在堆溢出漏洞。攻击者通过操纵该函数可能导致堆溢出,进而影响系统的机密性、完整性和可用性。 影响范围: 软件: NASA CFS (Core Flight System) 版本: 7.0.0 及更早版本 组件: CCSDS Packet Header Handler 条件: 攻击者需位于本地网络。 修复方案: 目前项目方已知晓该问题(通过issue报告),但尚未做出响应。暂无官方补丁或修复方案。 代码: 截图中未包含POC或利用代码。 6. 最终检查: 是否包含了所有关键信息?是。 是否简洁?是。 是否跳过了无关信息?是。 是否提取了代码?确认没有代码,所以说明“无”。 OK,准备输出。 漏洞总结:NASA CFS 堆溢出漏洞 (CVE-2024-5474) 漏洞概述 漏洞名称: NASA CFS UP TO 7.0.0 CCSDS PACKET HEADER TO_LAB_PASSTHRU_ENCODE.C CFE_MSG_GETSIZE HEAP-BASED OVERFLOW CVE编号: CVE-2024-5474 CVSS评分: 6.1 (中等) 漏洞类型: 堆溢出 (Heap-based overflow) 描述: 在 NASA CFS (Core Flight System) 的 文件中, 函数存在堆溢出漏洞。攻击者通过操纵该函数(具体为 的未知输入)可能导致堆溢出。该漏洞被标记为“critical”(严重),可能影响系统的机密性、完整性和可用性。 影响范围 受影响软件: NASA CFS (Core Flight System) 受影响版本: 7.0.0 及更早版本 (UP TO 7.0.0) 受影响组件: CCSDS Packet Header Handler 利用条件: 攻击者需要位于本地网络 (The attacker needs to be present on the local network)。目前无已知可用利用代码。 修复方案 当前状态: 项目方已通过问题报告知晓该问题,但尚未做出响应 (The project was informed of the problem early through an issue report but has not responded yet)。 建议: 关注 GitHub 上的相关公告 (The advisory is available at github.com)。 POC/利用代码 截图中未包含任何 POC 代码或利用代码。