多个 Moxa 产品存在 CVE-2024-6387 OpenSSH 漏洞。CVE-2024-6387 是 OpenSSH 存在的一个未授权远程代码执行漏洞,与 OpenSSH 服务器 (sshd) 中的竞争条件有关。如果客户端未能在 LoginGraceTime(默认为 120 秒,旧版 OpenSSH 中为 600 秒)内完成认证,即会出现问题。sshd 的 SIGALRM 信号处理程序会被异步调用。但是,此信号处理程序调用了几个在异步信号上下文中使用不安全的函数,例如 syslog()。
确定的漏洞类型和潜在影响如下所示:
| 序号 |
漏洞类型 |
影响 |
| 1 |
信号处理程序竞争条件 (CWE-364)
CVE-2024-6387
|
未经验证的攻击者可利用此漏洞在目标系统中以 root 身份执行任意代码。 |
漏洞评分信息
|
ID
|
CVSS
|
漏洞载体
|
是否无需身份验证即可远程利用漏洞
|
| CVE-2024-6387 |
8.8
|
AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
|
是 |