一、 漏洞 CVE-2024-39717 基础信息
漏洞信息
                                        # N/A

## 漏洞概述
Versa Director GUI允许用户自定义界面样式,该功能仅对特定的管理员账户开放。其中“Change Favicon”选项可能存在安全问题,允许上传伪装成图片的恶意文件。

## 影响版本
未提供具体影响版本信息。

## 细节
在Versa Director GUI中,只有拥有Provider-Data-Center-Admin或Provider-Data-Center-System-Admin权限的用户才能使用“Change Favicon”功能。攻击者可以利用这个功能上传一个带有.png扩展名的恶意文件,以伪装成图片文件上传。

## 影响
此漏洞仅影响成功通过身份验证并登录的Provider-Data-Center-Admin或Provider-Data-Center-System-Admin用户,可能导致恶意文件的上传。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Versa Director GUI provides an option to customize the look and feel of the user interface. This option is only available for a user logged with Provider-Data-Center-Admin or Provider-Data-Center-System-Admin. (Tenant level users do not have this privilege). The “Change Favicon” (Favorite Icon) option can be mis-used to upload a malicious file ending with .png extension to masquerade as image file. This is possible only after a user with Provider-Data-Center-Admin or Provider-Data-Center-System-Admin has successfully authenticated and logged in.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Versa Director 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Versa Director是美国Versa公司的一个虚拟化和服务创建平台。可简化使用Versa FlexVNF的服务创建,自动化和交付。 Versa Director存在安全漏洞,该漏洞源于更改收藏夹图标选项会被误用,从而导致以.png扩展名结尾的恶意文件可伪装成图像文件。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-39717 的公开POC
# POC 描述 源链接 神龙链接
1 Interactive 3D visualization of China's Volt Typhoon APT attacking US critical infrastructure. Shows real 72-hour attack chain from CVE-2024-39717 exploit to water/power grid compromise. Based on CISA advisories & Microsoft threat intel. https://github.com/ahays248/VT_Viz POC详情
三、漏洞 CVE-2024-39717 的情报信息
四、漏洞 CVE-2024-39717 的评论

暂无评论

发表评论