一、 漏洞 CVE-2023-54329 基础信息
漏洞信息
# Inbit Messenger 4.9.0 远程命令执行漏洞
## 概述
Inbit Messenger 4.6.0 至 4.9.0 存在远程命令执行漏洞,攻击者可通过利用信使协议中的栈溢出漏洞,在未认证的情况下执行任意命令。
## 影响版本
4.6.0 ≤ Inbit Messenger < 4.9.0
## 细节
漏洞源于对XML数据包的处理不当,攻击者可向目标系统10883端口发送特制的XML数据包,触发栈溢出,从而执行恶意负载。
## 影响
攻击者可利用该漏洞以系统权限执行任意命令,完全控制受影响系统。
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Inbit Messenger 4.9.0 - Unauthenticated Remote Command Execution (RCE)
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Inbit Messenger 4.6.0 - 4.9.0 contains a remote command execution vulnerability that allows unauthenticated attackers to execute arbitrary commands by exploiting a stack overflow in the messenger's protocol. Attackers can send specially crafted XML packets to port 10883 with a malicious payload to trigger the vulnerability and execute commands with system privileges.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
栈缓冲区溢出
来源:美国国家漏洞数据库 NVD
漏洞标题
Inbit Messenger 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Inbit Messenger是Inbit公司的一款面向企业内网的即时通信套件。 Inbit Messenger 4.6.0版本至4.9.0版本存在安全漏洞,该漏洞源于协议栈溢出,可能导致未经身份验证的攻击者执行任意命令。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-54329 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2023-54329 的情报信息
标题: Inbit Messenger v4.9.0 - Unauthenticated Remote Command Execution (RCE) - Windows remote Exploit -- 🔗来源链接
标签:exploit
神龙速读:- **漏洞标题**: Inbit Messenger v4.9.0 - Unauthenticated Remote Command Execution (RCE) - **EDB-ID**: 51127 - **Author**: a-rey - **Type**: REMOTE - **Platform**: WINDOWS - **Date**: 2023-03-29 - **EDB Verified**: × - **Exploit**: / {} - **Vulnerable App**: Inbit Messenger - **关键信息** - **漏洞版本**: v4.6.0 - v4.9.0 - **影响平台**: Windows XP SP3, Windows 7, Windows 10, Windows Server 2019 - **漏洞分类**: Unauthenticated Remote Command Execution (RCE) - **发布时间**: 2022-08-11 - **作者**: a-rey - **引用**: ExploitDB
标题: exploits/writeups/Inbit_Messenger/v4.6.0/writeup.md at main · a-rey/exploits · GitHub -- 🔗来源链接
标签:technical-description
- https://web.archive.org/web/20200122082432/https://www.softsea.com/review/Inbit-Messenger-Basic-Edition.htmlproduct
标题: Inbit Messenger 4.9.0 - Unauthenticated Remote Command Execution (RCE) | Advisories | VulnCheck -- 🔗来源链接
标签:third-party-advisory
神龙速读:- **Title**: Inbit Messenger 4.9.0 - Unauthenticated Remote Command Execution (RCE) - **Severity**: Critical - **Date**: January 13, 2026 - **Affected**: Inbit Messenger <= 4.9.0 - **CVE ID**: CVE-2023-54329 - **CWE ID**: CWE-121 Stack-based Buffer Overflow - **CVSS Score**: 9.8 (AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N) - **References**: - ExploitDB-51127 - Archived Software Download Page - Exploit Write-Up - **Credit**: a-rey - **Description**: Inbit Messenger 4.6.0 - 4.9.0 contains a remote command execution vulnerability that allows unauthenticated attackers to execute arbitrary commands by exploiting a stack overflow in the messenger's protocol. Attackers can send specially crafted XML packets to port 10883 with a malicious payload to trigger the vulnerability and execute commands with system privileges.
- https://nvd.nist.gov/vuln/detail/CVE-2023-54329
四、漏洞 CVE-2023-54329 的评论
匿名用户
2026-01-15 06:08:45Zaproxy alias impedit expedita quisquam pariatur exercitationem. Nemo rerum eveniet dolores rem quia dignissimos.