从这个网页截图中可以获取以下关于漏洞的关键信息: 漏洞概述: - 描述: 目录遍历漏洞在Cisco Expressway Gateway中被发现,导致攻击者能够访问管理Web界面。 - 产品: Cisco Expressway Gateway。 - 受影响版本: 11.5.1,可能包括其他版本。 - 修复版本: 请参见Cisco Bug ID CSCvo47769 [1]。 漏洞详细信息: - 漏洞类型: 目录遍历 - 安全风险: 中等 - 厂商URL: Cisco Security Advisory - CVE编号: CVE-2019-1854 - CVE URL: CVE Details 介绍和更多信息: - Cisco Expressway为防火墙外的用户提供简单、高度安全的访问所有协作工作负载的访问,包括视频、语音、内容、IM和存在等。 - Expressway Gateway是一种反向代理,实施认证机制并基于请求URL中的编码信息转发授权请求。 概念验证: - 首先,攻击者必须通过HTTP基本身份验证认证到Cisco Expressway Gateway。 解决方法: - 防止未受信任方访问Cisco Expressway Gateway。 修复: - 查看Cisco Bug ID CSCvo47769 [1]以获取受影响的软件版本和可用修补程序。 安全风险: - 漏洞可以用来访问通常不可达的管理接口,攻击者可以通过这些接口读取或修改敏感信息。 时间线: - 2019-02-01: 漏洞确定 - 2019-02-20: 客户批准向厂商披露 - 2019-02-21: 通知厂商和收到厂商确认 - 2019-04-16: 厂商宣布公开披露 - 2019-05-01: 厂商发布建议 - 2019-05-16: 客户批准发布建议 - 2019-05-17: 报告发布 参考资料: - Cisco Bug ID - Expressway Series - DEFCON 26: Orange Tsai - 解析器逻辑攻击细节点 - Apache Tomcat