从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 产品:C-MOR Video Surveillance - 制造商:za-internet GmbH - 受影响版本:5.2401, 6.00PL01 - 测试版本:5.2401, 6.00PL01 - 漏洞类型:持久型跨站脚本攻击(CWE-79) - 风险级别:高 - 制造商通知日期:2024-04-05 - 公开披露日期:2024-09-04 - CVE参考:CVE-2024-45177 - 作者:Chris Beiter, Frederik Beimgraben, and Matthias Deeg 2. 漏洞细节: - 由于输入验证不足,C-MOR web界面易受持久型跨站脚本攻击。 - 攻击者可以利用此漏洞在web应用程序数据库中持久存储攻击向量,例如JavaScript代码。 3. PoC示例: - 通过POST请求向C-MOR web界面发送攻击向量。 - 示例请求和响应的HTML源代码。 4. 解决方案: - 描述的漏洞在6.00PL01版本中没有完全修复。 - 没有修复此安全问题的解决方案。 5. 披露时间线: - 2024-04-05:漏洞报告给制造商。 - 2024-04-05:制造商确认收到安全公告。 - 2024-04-08:关于安全更新和披露时间线的进一步交流。 - 2024-05-08:所有安全公告的公开发布;计划于2024-08-01发布C-MOR Video Surveillance版本6的安全更新。 - 2024-07-19:关于C-MOR Video Surveillance版本6的发布日期的电子邮件。 - 2024-07-30:制造商关于安全修复的进一步信息的电子邮件。 - 2024-09-04:C-MOR软件版本6.00PL1的公开发布。 6. 参考资料: - C-MOR Video Surveillance产品网站:https://www.c-mor.com/ - SySS安全公告SYSS-2024-021:https://www.syss.de/fileadmin/dokumente/Publikationen/Advisories/SYSS-2024-021.txt - SySS负责任披露政策:https://www.syss.de/en/responsible-disclosure-policy/ 7. 免责声明: - 信息提供“原样”且无任何保证。 - 安全公告的细节可能会更新以提供尽可能准确的信息。 - 最新版本的安全公告可在SySS网站上获取。 8. 版权: - 创意 Commons - Attribution (by) - Version 3.0 - URL:http://creativecommons.org/licenses/by/3.0/deed.en 这些信息提供了关于C-MOR Video Surveillance软件中持久型跨站脚本攻击漏洞的详细描述、影响范围、解决方案和披露时间线。