CRLF 注入可能会导致您的 VPN 会话被盗。

思科发布了更新，以解决其安全客户端软件中的一个严重漏洞，该漏洞允许攻击者连接到目标用户的VPN会话。

该漏洞编号为 CVE-2024-20337 ， CVSS严重等级为 8.2 ，允许未经身份验证的远程攻击者进行CRLF 注入攻击，从而允许黑客在建立 VPN 会话期间强迫受害者单击特制链接。

成功的攻击允许攻击者在受害者的浏览器中执行任意脚本或访问敏感信息，包括有效的SAML令牌，这反过来又允许攻击者使用受影响用户的权限建立对 VPN 会话的远程访问。

该漏洞影响 Windows、Linux 和 macOS 的 Secure Client，但该公司已在最新的软件版本中修复。可以在此页面上找到安全版本表 。

此外，思科还解决了 Secure Client for Linux 中的另一个严重漏洞 CVE-2024-20338 (CVSS 7.3)，该漏洞可能允许具有本地访问权限的攻击者升级其在设备上的权限。该漏洞 已 在5.1.2.42版本中 修复。

思科敦促用户立即更新他们的系统，以保护他们免受可能的攻击。

文章原文链接:https://www.anquanke.com/post/id/293734