免费扫描
HIGHCVE-2024-3507CVSS 7.7

Lunar 中的权限提升漏洞

平台

other

组件

lunar

修复版本

6.6.0

AI Confidence: highNVDEPSS 0.2%已审阅: 2026年5月
在NVD查看
保存

CVE-2024-3507 是 Lunar 软件中发现的特权提升漏洞。该漏洞允许攻击者通过二级进程注入来滥用权限,从而访问敏感的用户信息。此漏洞影响 Lunar 软件 6.0.2 到 6.6.0 版本。建议立即升级到 6.6.0 版本以修复此问题。

影响与攻击场景

攻击者利用此漏洞可以执行未经授权的操作,例如读取、修改或删除敏感数据。二级进程注入允许攻击者在 Lunar 应用程序的上下文中运行恶意代码,从而获得对系统更高级别的访问权限。攻击者可以窃取用户凭据、访问机密文档,甚至完全控制受影响的系统。由于涉及特权提升,该漏洞的潜在影响非常大,可能导致数据泄露、系统损坏和业务中断。

利用背景

目前尚未公开发现利用此漏洞的公开可用的 PoC。CISA 尚未将其添加到 KEV 目录。由于该漏洞允许特权提升,因此存在被积极利用的风险,建议密切关注安全社区的动态。

哪些人处于风险中翻译中…

Organizations and individuals utilizing Lunar software versions 6.0.2 through 6.6.0 are at risk. This includes deployments where Lunar processes run with elevated privileges or have access to sensitive user data. Systems integrated with Lunar, relying on its data integrity, are also potentially at risk.

攻击时间线

  1. Disclosure

    disclosure

威胁情报

漏洞利用状态

概念验证未知
CISA KEVNO
互联网暴露

EPSS

0.19% (41% 百分位)

CISA SSVC

利用情况none
可自动化no
技术影响partial

CVSS 向量

威胁情报· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N7.7HIGHAttack VectorNetwork攻击者如何到达目标Attack ComplexityHigh利用漏洞所需的条件Privileges RequiredLow攻击所需的认证级别User InteractionRequired是否需要受害者采取行动ScopeChanged超出受影响组件的影响范围ConfidentialityHigh敏感数据泄露风险IntegrityHigh数据未授权篡改风险AvailabilityNone服务中断风险nextguardhq.com · CVSS v3.1 基础分数
这些指标意味着什么?
Attack Vector
网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
Attack Complexity
高 — 需要竞态条件、非默认配置或特定情况。难以可靠利用。
Privileges Required
低 — 任何有效用户账户均可。
User Interaction
需要 — 受害者必须打开文件、点击链接或访问特制页面。
Scope
已改变 — 攻击可以超出脆弱组件,影响其他系统。
Confidentiality
高 — 完全丧失机密性,攻击者可读取所有数据。
Integrity
高 — 攻击者可写入、修改或删除任何数据。
Availability
无 — 无可用性影响。

受影响的软件

组件lunar
供应商Lunar
影响范围修复版本
6.0.2 – 6.6.06.6.0

弱点分类 (CWE)

CWE-269

时间线

  1. 已保留
  2. 发布日期
  3. 修改日期
  4. EPSS 更新日期

缓解措施和替代方案

最有效的缓解措施是立即将 Lunar 软件升级到 6.6.0 版本,该版本包含此漏洞的修复程序。如果无法立即升级,可以考虑实施临时缓解措施,例如限制 Lunar 应用程序的权限,并监控系统是否存在可疑活动。此外,实施严格的访问控制策略,并定期审查用户权限,可以降低攻击者利用此漏洞的风险。升级后,请验证新版本是否成功部署,并确认漏洞已得到修复。

修复方法翻译中…

Actualice Lunar a la versión 6.6.0 o posterior. Esta actualización corrige la vulnerabilidad de escalada de privilegios al mejorar la gestión de permisos y prevenir la inyección de procesos secundarios. Consulte las notas de la versión para obtener detalles adicionales sobre la actualización.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2024-3507 — 特权提升漏洞在 Lunar 中?

CVE-2024-3507 是 Lunar 软件中发现的特权提升漏洞,允许攻击者通过二级进程注入来访问敏感数据。

我是否受到 CVE-2024-3507 在 Lunar 中影响?

如果您正在使用 Lunar 软件 6.0.2 到 6.6.0 版本,则可能受到此漏洞的影响。

我如何修复 CVE-2024-3507 在 Lunar 中?

建议立即将 Lunar 软件升级到 6.6.0 版本以修复此漏洞。

CVE-2024-3507 是否正在被积极利用?

目前尚未公开发现利用此漏洞的公开可用的 PoC,但存在被积极利用的风险。

在哪里可以找到 Lunar 官方关于 CVE-2024-3507 的公告?

请查阅 Lunar 官方网站或安全公告页面以获取有关 CVE-2024-3507 的最新信息。

你的项目受影响吗?

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE