思科漏洞PoC公布后发现漏洞利用
导语:CVE-2020-3580漏洞PoC公布后发现漏洞利用。
CVE-2020-3580漏洞PoC公布后发现漏洞利用。
2020年10月21日,Cisco发布了安全公告和安全补丁以解决Cisco Adaptive Security Appliance (ASA) 和Firepower Threat Defense (FTD)软件web服务中的4个XSS漏洞,分别是 CVE-2020-3580、 CVE-2020-3581、 CVE-2020-3582、 CVE-2020-3583。2021年4月,Cisco更新了该漏洞的安全公告,称漏洞补丁修复并不完整。CVE-2020-3580漏洞CVSS评分6.1分,是Cisco ASA软件和FTD 软件中的漏洞,未授权的远程攻击者利用该漏洞可以在受影响的设备上发起XSS攻击。
6月24日,Positive Technologies研究人员在推特发布了CVE-2020-3580漏洞的PoC 漏洞利用。
随后,Positive Technologies研究人员Mikhail Klyuchnikov也发布了关于该漏洞的推特。Tenable也接收到攻击者利用CVE-2020-3580漏洞在野攻击的报告。
这4个漏洞 存在的原因是Cisco ASA 和FTD软件和web服务没有对用户输入进行有效性验证。为利用这些漏洞,攻击者需要用户点击一个精心伪造的链接。成功利用允许攻击者在端口内执行任意代码,访问敏感的基于浏览器的信息。
漏洞只影响特定的AnyConnect和WebVPN配置,包括:
漏洞PoC如下所示:
发表评论
提供云计算服务