CVE-2024-23749

CVSS 7.8 HIGHEPSS 4.7%CWE-77

Vexday Risk Score

41Atenção

Decisão SSVC (CISA)

Attend

PoC disponível → acompanhar de perto

CVSS 7.8EPSS 4.7%KEV nãoPoC públicaNuclei —Metasploit —Patch —

Ciclo de vida

09 fev 2024Publicada no NVD

14 mar 2024PoC pública

Recomendação: Planejar correção próxima — já existe PoC pública.

KiTTY versions 0.76.1.13 and before is vulnerable to command injection via the filename variable, occurs due to insufficient input sanitization and validation, failure to escape special characters, and insecure system calls (at lines 2369-2390). This allows an attacker to add inputs inside the filename variable, leading to arbitrary code execution.

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Produtos afetados

n/a · n/a

PoCs públicas encontradas — 2

cve_referencepacketstormsecurity.com/files/177031/KiTTY-0.76.1.13-Command-Injection.htmlnão verificado exploitdbwww.exploit-db.com/exploits/51892não verificado

⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

http://packetstormsecurity.com/files/177031/KiTTY-0.76.1.13-Command-Injection.html https://blog.defcesco.io/CVE-2024-23749 http://seclists.org/fulldisclosure/2024/Feb/13 http://seclists.org/fulldisclosure/2024/Feb/14