支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2021-47773 基础信息
漏洞信息
                                        # Dynojet Power Core 2.3.0 服务路径漏洞

N/A
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Dynojet Power Core 2.3.0 - Unquoted Service Path
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Dynojet Power Core 2.3.0 contains an unquoted service path vulnerability in the DJ.UpdateService that allows local authenticated users to potentially execute code with elevated privileges. Attackers can exploit the unquoted binary path by placing malicious executables in the service's file path to gain Local System access.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
未经引用的搜索路径或元素
来源:美国国家漏洞数据库 NVD
漏洞标题
Dynojet Power Core 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Dynojet Power Core是美国Dynojet公司的一款车辆全功能软件。 Dynojet Power Core 2.3.0版本存在安全漏洞,该漏洞源于服务路径未加引号,可能导致本地权限提升。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2021-47773 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2021-47773 的情报信息

  • 标题: Dynojet Power Core 2.3.0 - Unquoted Service Path - Windows local Exploit -- 🔗来源链接

    标签:exploit

    神龙速读:
                                            ## 关键漏洞信息

- **EDB-ID**: 50466
- **CVE**: N/A
- **Author**: Pedro Sousa Rodrigues
- **Type**: LOCAL
- **Platform**: WINDOWS
- **Date**: 2021-11-02
- **Vulnerable App**: Dynojet Power Core 2.3.0

### 漏洞详情
- **Exploit Title**: Dynojet Power Core 2.3.0 - Unquoted Service Path
- **Version**: 2.3.0 (Build 303)
- **Vendor Homepage**: https://www.dynojet.com
- **Software Link**: https://docs.dynojet.com/Document/18762
- **Tested on**: Windows 10 Version 21H1 (OS Build 19043.1320)

### 漏洞服务信息
- **SERVICE_NAME**: DJ.UpdateService
  - TYPE: 10 WIN32_OWN_PROCESS
  - START_TYPE: 3 DEMAND_START
  - ERROR_CONTROL: 1 NORMAL
  - BINARY_PATH_NAME: C:\Program Files\Dynojet Power Core\DJ.UpdateService.exe

### 漏洞利用说明
- **Exploit**: 通过在系统根路径中插入代码,任何身份验证用户可以手动执行服务。如果成功,本地用户的代码将以本地系统权限执行。
- **CanRestart**: True
- **Name**: DJ.UpdateService
- **Path**: C:\Program Files\Dynojet Power Core\DJ.UpdateService.exe
- **ModifiablePath**: @{ModifiablePath=C:\; IdentityReference=NT AUTHORITY\Authenticated Users; Permissions=System.Object[]}
- **AbuseFunction**: Write-ServiceBinary -Name 'DJ.UpdateService' -Path <HijackPath>
    Dynojet Power Core 2.3.0 - Unquoted Service Path - Windows local Exploit

  • 标题: Powersports Vehicle Parts | Performance Ignition & Fuel Parts | Dynojet -- 🔗来源链接

    标签:product

    神龙速读:
                                            从提供的网页截图中,没有直接显示任何具体的漏洞信息。但是,可以从网站的结构和功能描述中提取一些可能与安全和信息管理相关的信息点:

- **Cookie使用通知**:页面底部有一个通知,提到站点使用Cookies来增强用户访问体验。这表明网站可能涉及用户数据收集,如果Cookie管理不当,可能会存在隐私泄露的风险。

- **Affirm支付选项**:网站提供了Affirm作为付款方式之一,并附有链接说明付款条款与条件,以及可能的企业借贷合作伙伴。这里的财务交易信息处理需要严格的安全措施,以防止财务数据被盗。

- **联系方式和客户支持**:在页脚提供了远程桌面支持、聊天支持及产品注册等服务,如果这些服务没有适当的安全防护,可能会被利用进行恶意操作。

- **产品搜索与分类**:页面顶部有搜索栏和产品类别导航,虽然这本身不是漏洞,但如果这些功能没有做好输入验证,可能会被黑客用于SQL注入等攻击。

从页面截图获取的信息主要是围绕可能存在的信息保护和网站功能安全方面,但并未直接揭示具体的漏洞细节。要评估网站的安全性,需要进一步的技术测试和分析。
    Powersports Vehicle Parts | Performance Ignition & Fuel Parts | Dynojet
  • https://nvd.nist.gov/vuln/detail/CVE-2021-47773
四、漏洞 CVE-2021-47773 的评论

暂无评论

发表评论