一、 漏洞 CVE-2020-5142 基础信息
漏洞信息
                                        # N/A

## 概述
存在一个存储型跨站脚本(XSS)漏洞存在于 SonicOS SSLVPN 网络界面中。远程未认证的攻击者可以存储并执行任意 JavaScript 代码在防火墙 SSLVPN 门户中。

## 影响版本
- SonicOS Gen 5: 版本 5.9.1.7, 5.9.1.13
- SonicOS Gen 6: 版本 6.5.4.7, 6.5.1.12, 6.0.5.3
- SonicOSv: 版本 6.5.4.v
- SonicOS Gen 7: 版本 SonicOS 7.0.0.0

## 细节
攻击者可以将恶意脚本存储在SSLVPN门户中,以便在其他用户的浏览器中执行,从而可能窃取敏感信息或进行其他恶意活动。

## 影响
此漏洞允许攻击者执行任意JavaScript代码,可能导致敏感信息泄露、会话劫持或其他恶意行为。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A stored cross-site scripting (XSS) vulnerability exists in the SonicOS SSLVPN web interface. A remote unauthenticated attacker is able to store and potentially execute arbitrary JavaScript code in the firewall SSLVPN portal. This vulnerability affected SonicOS Gen 5 version 5.9.1.7, 5.9.1.13, Gen 6 version 6.5.4.7, 6.5.1.12, 6.0.5.3, SonicOSv 6.5.4.v and Gen 7 version SonicOS 7.0.0.0.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
SonicWall SonicOS SSLVPN NACagent 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
SonicWall SonicOS SSLVPN NACagent是美国SonicWall公司的一款VPN(虚拟私人网络)客户端应用程序。 SonicOS SSLVPN web interface 存在跨站脚本漏洞,攻击者可利用该漏洞能够在防火墙SSLVPN门户中存储并可能执行任意的JavaScript代码。以下产品及版本受到影响:5.9.1.7版本,5.9.1.13版本,6.5.4.7版本,6.5.1.12版本,6.0.5.3版本,SonicOSv 6.5.4版本,SonicOS 7.0.0.0版本。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2020-5142 的公开POC
# POC 描述 源链接 神龙链接
1 Reflected XSS found by Burp Suite in several locations on SonicOS 7.0 Sonicwall NSA device. https://github.com/hackerlawyer/CVE-2020-5142-POC-MB POC详情
三、漏洞 CVE-2020-5142 的情报信息
四、漏洞 CVE-2020-5142 的评论

暂无评论

发表评论