N/A

CVE编号

CVE-2024-11003

利用情况

暂无

补丁情况

N/A

披露时间

2024-11-20

漏洞描述

Qualys 发现，在版本 3.8 之前，needrestart 将未经验证的数据传递给期望安全输入的库（Modules::ScanDeps）。这可能导致本地攻击者执行任意 shell 命令。请参阅 Modules::ScanDeps 中的相关 CVE-2024-10224。

解决建议

"将组件 needrestart 升级至 3.8 及以上版本"

参考链接
https://github.com/liske/needrestart/commit/0f80a348883f72279a859ee655f58da34babefb0
https://www.cve.org/CVERecord?id=CVE-2024-10224
https://www.cve.org/CVERecord?id=CVE-2024-11003
https://www.qualys.com/2024/11/19/needrestart/needrestart.txt

CVSS3评分 7.8

• 攻击路径 本地
• 攻击复杂度 低
• 权限要求 低
• 影响范围 未更改
• 用户交互 无
• 可用性 高
• 保密性 高
• 完整性 高

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CWE-ID	漏洞类型

Exp相关链接

- avd.aliyun.com