1、CVE-2018-13379:预认证任意文件读取
描述:在获取语言文件时,目标设备使用lang参数生成json文件路径,该操作没有保护措施,攻击者可以通过构造恶意请求来读取任意文件。
影响版本:Fortigate SSL VPN。
修复建议:升级到最新版本或安装最新安全补丁包。
2、CVE-2018-13380:预认证XSS
描述:目标服务存在多个XSS点,攻击者可以通过这些点注入恶意脚本。
影响版本:Fortigate SSL VPN。
修复建议:升级到最新版本或安装最新安全补丁包。
3、CVE-2018-13381:预认证堆溢出
描述:服务器对HTML实体代码进行编码时存在长度计算不一致的问题,导致堆缓冲区溢出。
影响版本:Fortigate SSL VPN。
修复建议:升级到最新版本或安装最新安全补丁包。
4、CVE-2018-13382:magic后门
描述:登录页面存在一个特别的参数magic,匹配硬编码字符串后可修改任何用户密码。
影响版本:Fortigate SSL VPN。
修复建议:升级到最新版本或安装最新安全补丁包。
5、CVE-2018-13383:后认证堆溢出
描述:与CVE-2018-13381类似,涉及HTML实体代码编码的长度计算不一致问题。
影响版本:Fortigate SSL VPN。
修复建议:升级到最新版本或安装最新安全补丁包。
6、深信服SSL VPN命令注入漏洞
描述:某接口中url参数存在注入漏洞,攻击者可利用该漏洞获取SSL VPN设备的控制权限。
影响版本:深信服SSL VPN <= 7.6.7。
修复建议:升级到SSL VPN 7.6.7以上版本或安装最新安全补丁包。
7、杭州迪普科技股份有限公司DPTech VPN任意文件读取漏洞
描述:攻击者可以构造恶意请求,通过漏洞读取服务器上的任意文件。
影响版本:DPTech VPN。
修复建议:升级到最新版本。
VPN漏洞的存在严重威胁了企业和用户的网络安全,为了有效防范这些漏洞带来的风险,建议用户及时升级VPN设备到最新版本,并安装最新的安全补丁包,加强网络监控和日志审计,及时发现并应对潜在的安全威胁。
各位小伙伴们,我刚刚为大家分享了有关vpn 漏洞的知识,希望对你们有所帮助。如果您还有其他相关问题需要解决,欢迎随时提出哦!
本文来源于互联网,如若侵权,请联系管理员删除,本文链接:https://www.9969.net/87200.html
