发新话题
打印

易方达基金思科CISCOSSL VPN入口title可被随意修改实现利用

易方达基金思科CISCOSSL VPN入口title可被随意修改实现利用

漏洞概要关注数(8) [url=]关注此漏洞[/url]缺陷编号:        WooYun-2014-82235漏洞标题:        易方达基金SSL VPN入口title可被随意修改实现利用相关厂商:        易方达基金漏洞作者:        myh0st提交时间:        2014-11-08 15:49公开时间:        2015-02-04 15:50漏洞类型:        非授权访问危害等级:        高自评Rank:        20漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理漏洞来源:        http://www.wooyun.orgTags标签:

cisco

asa

sslvpn

[url=]0[/url]人收藏 [url=]收藏[/url]
分享漏洞:[url=]0[/url]

漏洞详情披露状态:
2014-11-08:        细节已通知厂商并且等待厂商处理中
2014-11-11:        厂商已经确认,细节仅向厂商公开
2014-11-14:        细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航
2015-01-05:        细节向核心白帽子及相关领域专家公开
2015-01-15:        细节向普通白帽子公开
2015-01-25:        细节向实习白帽子公开
2015-02-04:        细节向公众公开

简要描述:SSL VPN入口自定义框架在实现上存在安全漏洞,未经身份验证的远程攻击者可利用此漏洞修改Clientless SSL VPN入口内容,导致窃取凭证、跨站脚本及其他攻击。此漏洞源于没有正确实现Clientless SSL VPN入口自定义框架内的身份验证检查。
详细说明:具体漏洞细节,请看:http://**.**.**.**/papers/3451



**.**.**.**



http://**.**.**.**/


漏洞证明:









修复方案:打官方补丁。

版权声明:转载请注明来源 myh0st@乌云漏洞回应厂商回应:危害等级:中
漏洞Rank:10
确认时间:2014-11-11 09:55
厂商回复:CNVD确认并复现所述情况,已经转由CNCERT向证券行业信息化主管部门——证监会通报,由其后续协调网站管理单位处置。
最新状态:暂无
原文:http://www.wooyun.org/bugs/wooyun-2014-082235

TOP

发新话题