※勉強目的のみ。悪用厳禁。

修正前

調査

「/vpns/」ディレクトリには閲覧権限が無い。

「/vpns/」下のファイルを指定すると閲覧可能。

特定のヘッダを追加するとレイアウトが変わる。

RCE実行

アップロード（一部非公開）

実行

RCE時に認証がいらない

ログイン時にCookie「SESSID」を発行。

Cookieが無いとログイン画面に戻される。

Cookieがなくともアップロード可能。

Cookieがなくとも実行可能。

修正後

「/vpns/」アクセス時の挙動が異なる。

「/vpns/」下のファイルも見れない。

対策

バージョンアップ。

感想

初めて検証したRCEのCVE。
認証なしで難易度も低い、驚いたCVE。

参考

公式
CVE-2019-19781 – Vulnerability in Citrix Application Delivery Controller, Citrix Gateway, and Citrix SD-WAN WANOP appliance