思科漏洞PoC公布后发现漏洞利用
2021-07-02
来源:嘶吼专业版
CVE-2020-3580漏洞PoC公布后发现漏洞利用。
2020年10月21日,Cisco发布了安全公告和安全补丁以解决Cisco Adaptive Security Appliance (ASA) 和Firepower Threat Defense (FTD)软件web服务中的4个XSS漏洞,分别是 CVE-2020-3580、 CVE-2020-3581、 CVE-2020-3582、 CVE-2020-3583。2021年4月,Cisco更新了该漏洞的安全公告,称漏洞补丁修复并不完整。CVE-2020-3580漏洞CVSS评分6.1分,是Cisco ASA软件和FTD 软件中的漏洞,未授权的远程攻击者利用该漏洞可以在受影响的设备上发起XSS攻击。
6月24日,Positive Technologies研究人员在推特发布了CVE-2020-3580漏洞的PoC 漏洞利用。
随后,Positive Technologies研究人员Mikhail Klyuchnikov也发布了关于该漏洞的推特。Tenable也接收到攻击者利用CVE-2020-3580漏洞在野攻击的报告。
这4个漏洞 存在的原因是Cisco ASA 和FTD软件和web服务没有对用户输入进行有效性验证。为利用这些漏洞,攻击者需要用户点击一个精心伪造的链接。成功利用允许攻击者在端口内执行任意代码,访问敏感的基于浏览器的信息。
漏洞只影响特定的AnyConnect和WebVPN配置,包括:
漏洞PoC如下所示:
本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。