标题:
易方达基金思科CISCOSSL VPN入口title可被随意修改实现利用
[打印本页]
作者:
linda
时间:
2016-1-12 10:23
标题:
易方达基金思科CISCOSSL VPN入口title可被随意修改实现利用
漏洞概要
关注数(8) [url=]关注此漏洞[/url]
缺陷编号:
WooYun-2014-82235
漏洞标题: 易方达基金SSL VPN入口title可被随意修改实现利用相关厂商:
易方达基金
漏洞作者:
myh0st
提交时间: 2014-11-08 15:49公开时间: 2015-02-04 15:50漏洞类型: 非授权访问危害等级: 高自评Rank: 20漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理漏洞来源:
http://www.wooyun.org
Tags标签:
cisco
asa
sslvpn
[url=]0[/url]人收藏 [url=]收藏[/url]
分享漏洞:
[url=]0[/url]
漏洞详情披露状态:
2014-11-08: 细节已通知厂商并且等待厂商处理中
2014-11-11: 厂商已经确认,细节仅向厂商公开
2014-11-14: 细节向第三方安全合作伙伴开放(
绿盟科技
、
唐朝安全巡航
)
2015-01-05: 细节向核心白帽子及相关领域专家公开
2015-01-15: 细节向普通白帽子公开
2015-01-25: 细节向实习白帽子公开
2015-02-04: 细节向公众公开
简要描述:
SSL VPN入口自定义框架在实现上存在安全漏洞,未经身份验证的远程攻击者可利用此漏洞修改Clientless SSL VPN入口内容,导致窃取凭证、跨站脚本及其他攻击。此漏洞源于没有正确实现Clientless SSL VPN入口自定义框架内的身份验证检查。
详细说明:
具体漏洞细节,请看:http://**.**.**.**/papers/3451
**.**.**.**
http://**.**.**.**/
漏洞证明:
修复方案:
打官方补丁。
版权声明:转载请注明来源
myh0st
@
乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2014-11-11 09:55
厂商回复:
CNVD确认并复现所述情况,已经转由CNCERT向证券行业信息化主管部门——证监会通报,由其后续协调网站管理单位处置。
最新状态:
暂无
原文:
http://www.wooyun.org/bugs/wooyun-2014-082235
欢迎光临 中神通公司技术论坛 (http://trustcomputing.com.cn/bbs/)
Powered by Discuz! 6.0.0
[url=]0[/url]
[url=]0[/url]
