思科安全客户端软件发现严重漏洞，允许攻击者窃取 SAML 令牌

思科发布了更新，以解决其安全客户端软件中的一个严重漏洞，该漏洞允许攻击者连接到目标用户的VPN会话。

该漏洞编号为 CVE-2024-20337 ， CVSS严重等级为 8.2 ，允许未经身份验证的远程攻击者进行CRLF 注入攻击，从而允许黑客在建立 VPN 会话期间强迫受害者单击特制链接。

攻击允许攻击者在受害者的浏览器中执行任意脚本或访问敏感信息，包括有效的SAML令牌，这反过来又允许攻击者使用受影响用户的权限建立对 VPN 会话的远程访问。

该漏洞影响 Windows、Linux 和 macOS 的 Secure Client，公司已在最新的软件版本中修复，可以在此页面上找到安全版本表 。

此外，思科还解决了 Secure Client for Linux 中的另一个严重漏洞 CVE-2024-20338 (CVSS 7.3)，该漏洞可能允许具有本地访问权限的攻击者升级其在设备上的权限。该漏洞已在5.1.2.42版本中修复。

思科敦促用户立即更新他们的系统，以保护免受可能的攻击。

转自安全客，原文链接：https://www.anquanke.com/post/id/293734