从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞名称:Logsign Unified SecOps Platform Command Injection Remote Code Execution Vulnerability 2. 漏洞编号: - ZDI-24-617 - ZDI-CAN-24165 3. CVE编号:CVE-2024-5717 4. CVSS分数:8.8 5. 受影响的厂商:Logsign 6. 受影响的产品:Unified SecOps Platform 7. 漏洞描述: - 远程攻击者可以利用此漏洞在受影响的Logsign Unified SecOps Platform安装上执行任意代码。 - 虽然需要认证来利用此漏洞,但现有的认证机制可以被绕过。 - 问题存在于HTTP API的实现中,由于在执行系统调用之前未正确验证用户提供的字符串。 - 攻击者可以利用此漏洞在root上下文中执行代码。 8. 额外信息: - Logsign已发布更新以修复此漏洞。 - 更多详细信息可以在以下链接中找到:https://support.logsign.net/hc/en-us/articles/19316621924754-03-06-2024-Version-6-4-8-Release-Notes 9. 披露时间线: - 2024-05-31:漏洞报告给厂商 - 2024-06-12:协调公开发布漏洞公告 - 2024-08-15:更新公告 10. 信用: - Mehmet INCE (@mdisec) 从PRODAFT.com 这些信息提供了关于漏洞的详细描述和修复措施。