漏洞信息详情
Cisco Secure Desktop CSDWebInstaller ActiveX控件任意文件下载漏洞
- CNNVD编号:CNNVD-201102-378
- 危害等级: 超危
- CVE编号: CVE-2011-0925
- 漏洞类型: 输入验证
- 发布时间: 2011-02-28
- 威胁类型: 远程
- 更新时间: 2011-03-01
- 厂 商: cisco
- 漏洞来源:
漏洞简介
Cisco Secure Desktop(CSD)是美国思科(Cisco)公司的一款安全桌面产品,它可通过加密功能降低远程用户注销后或SSL VPN会话超时后Cookies、浏览器历史记录、临时文件和下载内容在系统上所遗留的风险。
Cisco Secure Desktop(CSD)的CSDWebInstaller.ocx中的CSDWebInstallerCtrl ActiveX控件中存在输入验证漏洞。远程攻击者可以通过将Cisco签署的可执行文件重命名为inst.exe并放到网络服务器上远程利用此漏洞上传下载恶意文件,以当前用户身份执行任意代码。
漏洞公告
目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://www.cisco.com/en/US/hmpgs/index.HTML
参考网址
来源: zerodayinitiative.com 链接:http://zerodayinitiative.com/advisories/ZDI-11-092/ 来源: BUGTRAQ 名称: 20110223 ZDI-11-092: (0day) Cisco Secure Desktop CSDWebInstaller ActiveX Control Cleaner.cab Remote Code Execution Vulnerability 链接:http://www.securityfocus.com/archive/1/archive/1/516648/100/0/threaded 来源:NSFOCUS 名称:16503 链接:http://www.nsfocus.net/vulndb/16503
受影响实体
- Cisco Secure_desktop
补丁
暂无
评论