关键漏洞信息 CVE ID: CVE-2024-32384 CVE 链接: https://nvd.nist.gov/vuln/detail/CVE-2024-32384 厂商: Kerlink 受影响产品与版本: KerOS < 5.10 漏洞类型: CWE-319: Cleartext Transmission of Sensitive Information CVSS 基本分数 / CVSS 向量: BDO: 6.8 Medium / CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N 作者: Manfred Heinz 日期: 2025-11-21 漏洞详情 描述: Kerlink 闸道在运行 KerOS 5.10 版本之前的固件时,仅通过 HTTP 暴露其 Web 界面,而没有支持 HTTPS。这种缺少传输层安全性的状况允许中间人攻击者拦截和修改客户端和设备之间传输的流量。 修复方法: HTTPS 访问功能在 KerOS 5.10 版本中已经可用。KerOS Wiki 提供了如何启用 HTTPS 的说明;详见下方参考链接。 参考: https://keros.docs.kerlink.com/security/security_advisories_kerOS5 https://wikikerlink.fr/wirnet-productline/doku.php?id=wiki:resources:sw_history#keros_firmware_v5120_november_2025 https://wikikerlink.fr/wirnet-productline/doku.php?id=wiki:systeme_mana:webui&s[]=enable&s[]=https#https_web_interface 时间线 2024-03-19: 向 Kerlink 报告漏洞 2024-03-23: Kerlink 通知我们问题正在分析中 2024-03-29: 厂商确认了漏洞并提供了分析当前状态的更新,包括潜在的修复措施 2024-04-08: 我们对潜在修复方案提供了反馈 2024-04-28: 厂商更新了潜在修复进度 2024-06-11: 我们报告了额外的漏洞;对这些问题进行了持续的沟通 2025-08-05: 通知 Kerlink 我们计划发布相关的 CVEs 2025-11-06: 厂商发布更新 2025-11-21: 漏洞发布