漏洞标题
N/A
漏洞描述信息
Cisco安全访问控制服务器(ACS)4.x在Windows平台上使用客户端的IP地址和服务器的端口号来授权访问HTTP服务器端口的管理会话,这允许远程攻击者通过各种方法绕过身份验证,即“ACS弱会话管理漏洞”。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Cisco Secure Access Control Server (ACS) 4.x for Windows uses the client's IP address and the server's port number to grant access to an HTTP server port for an administration session, which allows remote attackers to bypass authentication via various methods, aka "ACS Weak Session Management Vulnerability."
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Cisco Secure ACS 远程认证绕过漏洞
漏洞描述信息
Cisco Secure ACS是Cisco网络设备的中央管理平台,用于控制设备的认证和授权。 Cisco Secure ACS中存在认证绕过漏洞,远程攻击者可能利用此漏洞劫持现有的认证后的会话。 在认证后,运行在TCP端口2002上的Cisco Secure ACS Web管理接口会将连接重新定向到1024和65535之间动态分配的端口号上,具体取决于用户用于认证之后HTTP连接的IP地址。这有助于攻击者劫持管理会话,因为端口号是以顺序的方式分配的,没有使用很强的认证。
CVSS信息
N/A
漏洞类别
授权问题