CVE-2024-5539 ALC WebCTRL与Carrier i-Vu楼宇自动化系统的访问控制绕过漏洞详解

概述

CVE-2024-5539 是存在于ALC WebCTRL和Carrier i-Vu软件中的一个访问控制绕过漏洞。该漏洞影响版本8.5及之前的所有版本，CVSS 4.0评分为9.2（严重等级）。远程攻击者可利用此漏洞绕过预期的访问限制，通过基于Web的楼宇自动化服务器暴露敏感信息。

漏洞时间线

漏洞描述

在ALC WebCTRL和Carrier i-Vu（版本包括及之前8.5）中发现的访问控制绕过漏洞，允许恶意行为者绕过预期的访问限制，通过基于Web的楼宇自动化服务器暴露敏感信息。

信息

发布日期： 2025年11月27日，凌晨1:15
最后修改日期： 2025年11月27日，凌晨1:15
可远程利用： 是！
来源： productsecurity@carrier.com

受影响产品

以下产品受CVE-2024-5539漏洞影响。即使cvefeed.io知晓受影响产品的确切版本，该信息也未在下表中体现。

暂无受影响产品记录: 受影响厂商总数：0 | 产品数量：0

CVSS评分

通用漏洞评分系统是一个用于评估软件和系统中漏洞严重程度的标准化框架。我们为每个CVE收集并显示来自多个来源的CVSS评分。

评分	版本	严重等级	向量	可利用性评分	影响评分	来源
9.2	CVSS 4.0	严重				e24e6442-3ae1-4538-a7b8-7ac95586db8f
9.2	CVSS 4.0	严重				productsecurity@carrier.com

解决方案

更新到修复了访问控制绕过的版本。
- 将ALC WebCTRL和Carrier i-Vu更新到最新版本。
- 应用供应商提供的安全补丁。
- 审查访问控制配置。

安全公告、解决方案和工具参考

此处提供与CVE-2024-5539相关的深度信息、实用解决方案和有价值工具的外部链接精选列表。

资源	链接
Carrier 产品安全	https://www.corporate.carrier.com/product-security/advisories-resources/

CWE - 常见缺陷枚举

CVE标识特定的漏洞实例，而CWE则对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2024-5539与以下CWE相关联：

CWE-863：不正确的授权

常见攻击模式枚举与分类 (CAPEC)

常见攻击模式枚举与分类 (CAPEC) 存储了攻击模式，这些模式描述了对手利用CVE-2024-5539弱点所采用的常见属性和方法。

GitHub上的概念验证 (PoC)

我们扫描GitHub仓库以检测新的概念验证漏洞利用。以下是发布在GitHub上的公开漏洞利用和概念验证集合（按最近更新排序）。

结果显示限制在前15个仓库，以避免潜在的性能问题。

漏洞历史记录

下表列出了对CVE-2024-5539漏洞随时间所做的更改。漏洞历史记录详情有助于理解漏洞的演变，并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。

新增CVE 由 productsecurity@carrier.com 接收 2025年11月27日

操作	类型	新值
添加	描述	在ALC WebCTRL和Carrier i-Vu（版本包括及之前8.5）中发现的访问控制绕过漏洞，允许恶意行为者绕过预期的访问限制，通过基于Web的楼宇自动化服务器暴露敏感信息。
添加	CVSS V4.0	AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
添加	CWE	CWE-863
添加	参考	https://www.corporate.carrier.com/product-security/advisories-resources/

EPSS评分历史

EPSS（漏洞利用预测评分系统）是对未来30天内观察到漏洞利用活动概率的每日估计。下图显示了该漏洞的EPSS评分历史。

授权

漏洞评分详情

CVSS 4.0

基础CVSS评分：9.2

指标类别	指标选项
攻击向量	网络，相邻，本地，物理
攻击复杂度	低，高
攻击前提	无，有
所需权限	无，低，高
用户交互	无，被动，主动
机密性影响（VS）	高，低，无
完整性影响（VS）	高，低，无
可用性影响（VS）	高，低，无
机密性影响（SS）	高，低，无
完整性影响（SS）	高，低，无
可用性影响（SS）	高，低，无