思科安全防火墙命令注入和SQL注入漏洞 admin 125604文章 98评论 2024年11月1日09:24:21评论31 views字数 583阅读1分56秒阅读模式 0x00 漏洞编号 CVE-2024-20275 CVE-2024-20340 0x01 危险等级 中危 0x02 漏洞概述 Cisco Secure Firewall Management Center是一个功能强大的、基于Web的多设备管理器。 0x03 漏洞详情 CVE-2024-20275 漏洞类型:命令注入 影响:执行任意命令 简述:Cisco Secure Firewall Management Center的集群备份功能中存在命令注入漏洞,由于web端管理界面中用户数据验证不足,通过身份验证的攻击者可以通过向受影响的设备发送特制的HTTP请求从而在底层操作系统上执行任意命令。 CVE-2024-20340 漏洞类型:SQL注入 影响:获取敏感信息 简述:Cisco Secure Firewall Management Center的网络管理界面存在SQL注入漏洞,由于对用户提供的输入验证不足,经过身份验证的远程攻击者可通过发送精心制作的HTTP请求执行SQL注入攻击,获取到数据库内的敏感信息。 0x04 影响版本 Cisco Secure Firewall Management Center 0x05 POC状态 未公开 0x06 修复建议 目前官方已发布漏洞修复版本,建议用户升级到安全版本: https://www.cisco.com/ 原文始发于微信公众号(浅安安全):漏洞预警 | 思科安全防火墙命令注入和SQL注入漏洞 点赞 https://cn-sec.com/archives/3341649.html 复制链接 复制链接 左青龙 微信扫一扫 右白虎 微信扫一扫
评论