## https://sploitus.com/exploit?id=493793D8-3C9D-56A8-B495-DBA9AA2F267E
# CVE-2024-51378 — Proof of Concept (эмуляция)
## ДЗ 10. Python для аналитиков ИБ: эксплойты. Закирова Екатерина
## 📌 Описание
Данный проект представляет собой учебный Proof of Concept (PoC),
демонстрирующий принцип использования уязвимости **CVE-2024-51378**.
PoC реализован в безопасном виде и **не выполняет реальных команд на целевой системе**.
Скрипт предназначен исключительно для образовательных целей.
---
## 🛡 Описание уязвимости
**CVE:** CVE-2024-51378
**Тип уязвимости:** Command Injection (CWE-78)
**Вектор атаки:** Удалённый
**Аутентификация:** Не требуется
**Уровень опасности:** Высокий
### Суть уязвимости
В некоторых веб-интерфейсах сетевых устройств некорректно
обрабатываются параметры, передаваемые через HTTP-метод `OPTIONS`.
При отсутствии валидации входных данных параметр `statusfile`
может быть использован для внедрения команд операционной системы.
---
## ⚙️ Принцип работы PoC
Скрипт выполняет следующие действия:
1. Принимает URL целевого хоста как аргумент командной строки.
2. Отправляет `GET`-запрос к корневому пути для получения cookies
(эмуляция CSRF-механизма).
3. Формирует безопасный тестовый JSON-payload.
4. Отправляет `OPTIONS`-запросы к потенциально уязвимым путям:
- `/ftp/getresetstatus`
- `/dns/getresetstatus`
5. Анализирует HTTP-код ответа сервера.
6. При получении ответа `200 OK` сообщает о возможной уязвимости.
⚠️ Скрипт **не выполняет реальную эксплуатацию** уязвимости.
---
## 🧪 Использование
```bash
python cve_2024_51378.py http://example.com