概述
CVE-2023-7329是一个影响Tinycontrol LAN控制器v3(LK3)的高危漏洞,CVSS评分为8.7。
漏洞描述
Tinycontrol LAN控制器v3(LK3)固件版本至1.58a(硬件版本v3.8)的stm.cgi端点存在身份验证缺失漏洞。远程未经身份验证的攻击者可以发送特制请求,强制重启设备或恢复出厂设置,导致拒绝服务和配置丢失。
漏洞详情
- 发布日期:2025年11月12日
- 最后修改:2025年11月12日
- 远程利用:是
- 漏洞来源:disclosure@vulncheck.com
受影响产品
目前尚未记录受影响的具体产品信息。
CVSS评分
| 分数 | 版本 | 严重等级 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 8.7 | CVSS 4.0 | 高 | - | - | - | disclosure@vulncheck.com |
解决方案
- 更新固件以修补stm.cgi端点的身份验证缺失漏洞
- 更新Tinycontrol LAN控制器固件至非脆弱版本
- 限制对stm.cgi端点的访问
- 实施更强的身份验证机制
参考资源
- https://exchange.xforce.ibmcloud.com/vulnerabilities/275810
- https://packetstormsecurity.com/files/174455/
- https://tinycontrol.pl/en/archives/lan-controller-35/
- https://www.exploit-db.com/exploits/51730
- https://www.vulncheck.com/advisories/tinycontrol-lan-controller-v3-remote-dos
- https://www.zeroscience.mk/en/vulnerabilities/ZSL-2023-5785.php
CWE关联
CWE-306: 关键功能缺少身份验证
CAPEC攻击模式
- CAPEC-12: 选择消息标识符
- CAPEC-36: 使用未发布的接口或功能
- CAPEC-62: 跨站请求伪造
- CAPEC-166: 强制系统重置值
- CAPEC-216: 通信信道操纵
漏洞时间线
2025年11月12日:收到来自disclosure@vulncheck.com的新CVE报告,添加了漏洞描述、CVSS评分、CWE分类和相关参考链接。