CVE-2020-3580漏洞PoC公布后發現漏洞利用。
2020年10月21日,Cisco發布了安全公告和安全補丁以解決Cisco Adaptive Security Appliance (ASA) 和Firepower Threat Defense (FTD)軟件web服務中的4個XSS漏洞,分別是 CVE-2020-3580、 CVE-2020-3581、 CVE-2020-3582、 CVE-2020-3583。2021年4月,Cisco更新了該漏洞的安全公告,稱漏洞補丁修復并不完整。CVE-2020-3580漏洞CVSS評分6.1分,是Cisco ASA軟件和FTD 軟件中的漏洞,未授權的遠程攻擊者利用該漏洞可以在受影響的設備上發起XSS攻擊。
6月24日,Positive Technologies研究人員在推特發布了CVE-2020-3580漏洞的PoC 漏洞利用。
隨后,Positive Technologies研究人員Mikhail Klyuchnikov也發布了關于該漏洞的推特。Tenable也接收到攻擊者利用CVE-2020-3580漏洞在野攻擊的報告。
這4個漏洞 存在的原因是Cisco ASA 和FTD軟件和web服務沒有對用戶輸入進行有效性驗證。為利用這些漏洞,攻擊者需要用戶點擊一個精心偽造的鏈接。成功利用允許攻擊者在端口內執行任意代碼,訪問敏感的基于瀏覽器的信息。
漏洞只影響特定的AnyConnect和WebVPN配置,包括:
漏洞PoC如下所示:
本站內容除特別聲明的原創文章之外,轉載內容只為傳遞更多信息,并不代表本網站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創文章及圖片等內容無法一一聯系確認版權者。如涉及作品內容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經濟損失。聯系電話:010-82306118;郵箱:aet@chinaaet.com。