rs485 logisticspipes反序列化漏洞(CVE-2023-38689)
CVE编号
CVE-2023-38689利用情况
暂无补丁情况
N/A披露时间
2023-08-05漏洞描述
Logistics Pipes是Minecraft Java Edition的一个模组,其中的Java的ObjectInputStream#readObject命令在从客户端或服务器接收的不可信数据上操作,容易导致在连接之后发送特定构造的网络数据包时出现远程代码执行漏洞。适用于2013年至2016年发布的所有版本,问题在2016年进行的网络IO代码重构中被修复。此问题存在于所有版本中,从0.7.0.91到0.10.0.71不等,这些版本被下载了数百万次。对于Minecraft 1.7.10版本,在0.10.0.71版本中已经修复了问题。如果用户的Logistics Pipes版本号小于0.10.0.71,则需要更新。任何更高版本的Minecraft(如1.12.2)都不会存在Logistics Pipes版本中的漏洞代码。对于存在漏洞的版本,最好的解决方案是只在单人游戏中游玩或更新到更高的Minecraft版本和模组。解决建议
"将组件 logisticspipes 升级至 0.10.0.71 及以上版本"受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | rs485 | logisticspipes | * | From (including) 0.7.0.91 | Up to (excluding) 0.10.0.71 | ||||
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 高
- 保密性 高
- 完整性 高
| CWE-ID | 漏洞类型 |
| CWE-502 | 可信数据的反序列化 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论