漏洞概要
关注数(8) [url=]关注此漏洞[/url]缺陷编号:
WooYun-2014-82235漏洞标题: 易方达基金SSL VPN入口title可被随意修改实现利用相关厂商:
易方达基金漏洞作者:
myh0st提交时间: 2014-11-08 15:49公开时间: 2015-02-04 15:50漏洞类型: 非授权访问危害等级: 高自评Rank: 20漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理漏洞来源:
http://www.wooyun.orgTags标签:
cisco
asa
sslvpn
[url=]0[/url]人收藏 [url=]收藏[/url]
分享漏洞:
[url=]0[/url]
漏洞详情披露状态:
2014-11-08: 细节已通知厂商并且等待厂商处理中
2014-11-11: 厂商已经确认,细节仅向厂商公开
2014-11-14: 细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航)
2015-01-05: 细节向核心白帽子及相关领域专家公开
2015-01-15: 细节向普通白帽子公开
2015-01-25: 细节向实习白帽子公开
2015-02-04: 细节向公众公开
简要描述:
SSL VPN入口自定义框架在实现上存在安全漏洞,未经身份验证的远程攻击者可利用此漏洞修改Clientless SSL VPN入口内容,导致窃取凭证、跨站脚本及其他攻击。此漏洞源于没有正确实现Clientless SSL VPN入口自定义框架内的身份验证检查。
详细说明:
具体漏洞细节,请看:http://**.**.**.**/papers/3451
**.**.**.**
http://**.**.**.**/
漏洞证明:
修复方案:
打官方补丁。
版权声明:转载请注明来源
myh0st@
乌云漏洞回应
厂商回应:危害等级:中
漏洞Rank:10
确认时间:2014-11-11 09:55
厂商回复:CNVD确认并复现所述情况,已经转由CNCERT向证券行业信息化主管部门——证监会通报,由其后续协调网站管理单位处置。
最新状态:暂无
原文:http://www.wooyun.org/bugs/wooyun-2014-082235
