Citrix Gateway缓存中毒漏洞
CVE编号
CVE-2020-10112利用情况
暂无补丁情况
N/A披露时间
2020-03-07漏洞描述
Citrix网关11.1、12.0和12.1允许缓存中毒。注意:Citrix认为这不是一个漏洞。默认情况下,Citrix ADC仅缓存在特定URL路径下提供的静态内容,以供Citrix网关使用。在这些路径下没有动态内容,这意味着那些缓存的页面不会根据参数值而改变。默认情况下,通过Citrix网关的所有其他数据流量不会被缓存。解决建议
目前厂商尚未提供相关漏洞补丁链接,请关注厂商主页随时更新:https://www.citrix.com/
参考链接 |
|
|---|---|
| http://packetstormsecurity.com/files/156660/Citrix-Gateway-11.1-12.0-12.1-Cac... | |
| http://seclists.org/fulldisclosure/2020/Mar/8 | |
| https://support.citrix.com/search |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 系统 | citrix | gateway_firmware | 11.1 | - | |||||
| 运行在以下环境 | |||||||||
| 系统 | citrix | gateway_firmware | 12.0 | - | |||||
| 运行在以下环境 | |||||||||
| 系统 | citrix | gateway_firmware | 12.1 | - | |||||
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 需要
- 可用性 无
- 保密性 低
- 完整性 低
| CWE-ID | 漏洞类型 |
| CWE-444 | HTTP请求的解释不一致性(HTTP请求私运) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论