LeakIX blog
·
Vinchin 备份与恢复:CVE-2024-22899 至 CVE-2024-22903
💡
原文英文,约2200词,阅读约需8分钟。
📝
内容提要
Vinchin Backup & Recovery 存在多项严重安全漏洞,包括默认 SSH 根凭证、硬编码数据库凭证和远程代码执行(RCE)漏洞,可能导致攻击者获取系统控制权。建议用户及时更新和修补,以防止安全风险。
🎯
关键要点
- Vinchin Backup & Recovery 存在多个严重安全漏洞,包括默认 SSH 根凭证、硬编码数据库凭证和远程代码执行(RCE)漏洞。
- 默认 SSH 根凭证(CVE-2024-22902)允许攻击者通过已知的默认密码远程访问系统。
- 硬编码数据库凭证(CVE-2024-22901)使得攻击者能够访问 MySQL 数据库并可能修改用户数据或创建新的管理员用户。
- 某些功能存在远程代码执行漏洞,攻击者可以利用这些漏洞执行任意命令,导致系统完全控制。
- setNetworkCardInfo 函数(CVE-2024-22900)和 syncNtpTime 函数(CVE-2024-22899)均存在命令注入漏洞,允许攻击者通过用户输入执行恶意命令。
- deleteUpdateAPK 函数(CVE-2024-22903)同样存在命令注入漏洞,攻击者可以通过文件名参数注入命令。
- getVerifydiyResult 函数(CVE-2024-25228)允许攻击者通过未验证的用户输入执行任意命令,造成严重安全风险。
- 建议用户及时更新和修补,以防止安全风险,确保系统安全。
❓
延伸问答
Vinchin Backup & Recovery 存在哪些安全漏洞?
Vinchin Backup & Recovery 存在多个严重安全漏洞,包括默认 SSH 根凭证、硬编码数据库凭证和远程代码执行(RCE)漏洞。
默认 SSH 根凭证的风险是什么?
默认 SSH 根凭证允许攻击者通过已知的默认密码远程访问系统,构成重大安全风险。
如何利用硬编码数据库凭证进行攻击?
攻击者可以利用硬编码的数据库凭证访问 MySQL 数据库,可能修改用户数据或创建新的管理员用户。
Vinchin Backup & Recovery 的命令注入漏洞有哪些?
存在多个命令注入漏洞,包括 setNetworkCardInfo、syncNtpTime 和 deleteUpdateAPK 函数,允许攻击者执行任意命令。
用户应该如何应对这些安全漏洞?
用户应及时更新和修补 Vinchin Backup & Recovery,以防止安全风险,确保系统安全。
CVE-2024-22900 漏洞的具体影响是什么?
CVE-2024-22900 漏洞允许攻击者通过用户输入执行恶意命令,可能导致系统完全控制。
➡️
