一、 漏洞 CVE-2024-8355 基础信息
漏洞信息
# Visteon 信息娱乐系统 DeviceManager iAP 序列号 SQL 注入漏洞
## 漏洞概述
Visteon Infotainment System 的 DeviceManager 组件存在 SQL 注入漏洞,该漏洞允许攻击者执行任意代码。漏洞源于在处理 iAP Serial number 时未正确验证用户提供的字符串,从而导致攻击者可以在 root 权限下执行代码。
## 影响版本
未提供具体受影响的版本信息。
## 漏洞细节
当 DeviceManager 组件在解析 iAP Serial number 时,未能充分验证用户输入的字符串,直接使用该字符串构造 SQL 查询。由于此验证不足,攻击者可以利用该漏洞执行任意代码。
## 漏洞影响
攻击者无需认证即可利用此漏洞,在目标系统上以 root 权限执行任意代码。此漏洞具有很高的危害性,可能导致系统被完全控制。漏洞编号:ZDI-CAN-20112。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Visteon Infotainment System DeviceManager iAP Serial Number SQL Injection Vulnerability
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Visteon Infotainment System DeviceManager iAP Serial Number SQL Injection Vulnerability. This vulnerability allows physically present attackers to execute arbitrary code on affected installations of Visteon Infotainment system. Authentication is not required to exploit this vulnerability.
The specific flaw exists within the DeviceManager. When parsing the iAP Serial number, the process does not properly validate a user-supplied string before using it to construct SQL queries. An attacker can leverage this vulnerability to execute code in the context of root. Was ZDI-CAN-20112.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
Visteon Infotainment SQL注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Visteon Infotainment是美国伟世通(Visteon)公司的一个汽车信息娱乐系统。 Visteon Infotainment存在SQL注入漏洞,该漏洞源于DeviceManager解析iAP序列号时,对用户提供的字符串验证不当,导致攻击者在受影响的安装上以root身份执行代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
SQL注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-8355 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
