思科发布了更新,以解决其安全客户端软件中的一个严重漏洞,该漏洞允许攻击者连接到目标用户的VPN会话。
该漏洞编号为 CVE-2024-20337 , CVSS严重等级为 8.2 ,允许未经身份验证的远程攻击者进行CRLF 注入攻击,从而允许黑客在建立 VPN 会话期间强迫受害者单击特制链接。
攻击允许攻击者在受害者的浏览器中执行任意脚本或访问敏感信息,包括有效的SAML令牌,这反过来又允许攻击者使用受影响用户的权限建立对 VPN 会话的远程访问。
该漏洞影响 Windows、Linux 和 macOS 的 Secure Client,公司已在最新的软件版本中修复,可以在此页面上找到安全版本表 。
此外,思科还解决了 Secure Client for Linux 中的另一个严重漏洞 CVE-2024-20338 (CVSS 7.3),该漏洞可能允许具有本地访问权限的攻击者升级其在设备上的权限。该漏洞已在5.1.2.42版本中修复。
思科敦促用户立即更新他们的系统,以保护免受可能的攻击。
转自安全客,原文链接:https://www.anquanke.com/post/id/293734
© 版权声明
文章版权归原作者所有,转摘请注明出处。文章内容仅代表作者独立观点,不代表安全壹壹肆&安全114的立场,转载目的在于传递网络空间安全讯息。部分素材来源于网络,如有侵权请联系首页管理员删除。
THE END
暂无评论内容