一、 漏洞 CVE-2024-37348 基础信息
漏洞标题
在13.06版本之前,Absolute Secure Access管理控制台的跨站脚本漏洞
来源:AIGC 神龙大模型
漏洞描述信息
在Absolute Secure Access 13.06版本之前的管理界面中存在跨站脚本漏洞。拥有系统管理员权限的攻击者可以在第二个管理员后来编辑同一个管理对象时干扰另一个系统管理员使用管理界面。这个漏洞与CVE-2024-37349和CVE-2024-37351不同。影响范围不变,没有机密性损失。对系统完整性的影响高,对系统可用性的影响为零。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:N/I:L/A:L
来源:AIGC 神龙大模型
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:AIGC 神龙大模型
漏洞标题
Cross-site scripting vulnerability in the Absolute Secure Access administrative console prior to 13.06
来源:美国国家漏洞数据库 NVD
漏洞描述信息
There is a cross-site scripting vulnerability in the management UI of Absolute Secure Access prior to version 13.06. Attackers with system administrator permissions can interfere with another system administrator’s use of the management UI when the second administrator later edits the same management object. This vulnerability is distinct from CVE-2024-37349 and CVE-2024-37351. The scope is unchanged, there is no loss of confidentiality. Impact to system integrity is high, impact to system availability is none.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:N/I:H/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
Absolute Secure Access 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Absolute Secure Access是Absolute公司的一款应用程序。以提供针对混合和移动工作模式优化的安全服务边缘(SSE)。 Absolute Secure Access 13.06之前版本存在安全漏洞。攻击者利用该漏洞导致对系统完整性影响很大。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-37348 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-37348 的情报信息