从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞编号:CVE-2024-51240 2. 漏洞名称:Privilege Escalation in OpenWRT with RPC module 3. 漏洞描述: - OpenWRT的Luci接口通过luci-mod-rpc包存在一个特权提升漏洞。 - 该漏洞允许已认证的管理员用户通过JSON-RPC-API提升权限到root。 - 漏洞存在于luci-mod-rpc的rpc.lua组件中。 4. 漏洞利用方法: - 使用JSON-RPC-API,攻击者可以利用认证令牌执行命令作为root。 - 步骤: 1. 获取认证令牌。 2. 使用令牌执行具有提升权限的命令。 5. 漏洞影响: - 命令执行导致权限从基本管理员提升到root,构成重大安全风险。 6. OpenWRT的响应: - OpenWRT已确认存在此漏洞,特别是在已废弃的代码中。 - 尽管文档中仍描述了访问API的方法,OpenWRT表示不会修复此漏洞,而是计划更新公共文档以澄清废弃状态。 7. 发现者: - Vito Carolillo (vito.carolillo@uania.com) - Fabrizio Passerini (fabrizio.passerini@uania.com) 8. 参考链接: - OpenWRT Luci Wiki - OpenWRT Luci模块源代码 这些信息详细描述了漏洞的性质、利用方法以及OpenWRT的响应,有助于理解漏洞的严重性和如何利用漏洞。