关键漏洞信息 漏洞编号 MNDT-2025-0002 描述 EnerSys AMPA 版本 24.04 至 24.16(含)存在命令注入漏洞,可能导致特权远程 shell 访问。 影响 高:此漏洞允许在无需登录的情况下进行远程 shell 访问,使实体能够在设备上执行未经授权的代码。 可利用性 高:任何未认证的网络用户都可以利用该漏洞获得远程 shell。 CVE ID CVE-2024-12442 常见弱点枚举 CWE-77: 命令中特殊元素的不正确中和(命令注入) 解决方案 问题已在 AMPA 版本 24.17 中修复。 细节 当前使用 EnerSys 库的产品包括 Alpha XM3.1 宽带 UPS 和 Alpha 网关固件。以下版本不受此漏洞影响: Alpha XM3.1 宽带 UPS 1.10.01 及更高版本 Alpha 网关固件 2.07.01 及更高版本 请参阅引用的 EnerSys 产品安全公告以获取更多详细信息。 发现者 Nick Guttila, Mandiant Neal Trischitta, Mandiant 披露时间线 2024 年 11 月 18 日 - 由 Mandiant 在对版本 1.10.0 的主动测试中发现 2024 年 12 月 5 日 - 由 EnerSys 在 AMPA 版本 24.17 中修补 2025 年 4 月 23 日 - 通过 CVE-2024-12442 由 EnerSys 披露 参考资料 https://www.energys.com/ https://www.energys.com/en/products/cable-broadband-solutions/broadband-ups/xm3.1-hp-broadband-ups/ https://www.energys.com/4996df/globalassets/documents/corporate/cve/enersys%5fcve-2024-12442-final.pdf