Share
## https://sploitus.com/exploit?id=493793D8-3C9D-56A8-B495-DBA9AA2F267E
# CVE-2024-51378 — Proof of Concept (эмуляция)

## ДЗ 10. Python для аналитиков ИБ: эксплойты. Закирова Екатерина

## 📌 Описание

Данный проект представляет собой учебный Proof of Concept (PoC),
демонстрирующий принцип использования уязвимости **CVE-2024-51378**.

PoC реализован в безопасном виде и **не выполняет реальных команд на целевой системе**.
Скрипт предназначен исключительно для образовательных целей.

---

## 🛡 Описание уязвимости

**CVE:** CVE-2024-51378  
**Тип уязвимости:** Command Injection (CWE-78)  
**Вектор атаки:** Удалённый  
**Аутентификация:** Не требуется  
**Уровень опасности:** Высокий  

### Суть уязвимости

В некоторых веб-интерфейсах сетевых устройств некорректно
обрабатываются параметры, передаваемые через HTTP-метод `OPTIONS`.

При отсутствии валидации входных данных параметр `statusfile`
может быть использован для внедрения команд операционной системы.

---

## ⚙️ Принцип работы PoC

Скрипт выполняет следующие действия:

1. Принимает URL целевого хоста как аргумент командной строки.
2. Отправляет `GET`-запрос к корневому пути для получения cookies
   (эмуляция CSRF-механизма).
3. Формирует безопасный тестовый JSON-payload.
4. Отправляет `OPTIONS`-запросы к потенциально уязвимым путям:
   - `/ftp/getresetstatus`
   - `/dns/getresetstatus`
5. Анализирует HTTP-код ответа сервера.
6. При получении ответа `200 OK` сообщает о возможной уязвимости.

⚠️ Скрипт **не выполняет реальную эксплуатацию** уязвимости.

---

## 🧪 Использование

```bash
python cve_2024_51378.py http://example.com