继续Citrix传奇：CVE-2023-5914和CVE-2023-6184

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。博客新域名：https://gugesay.com背景介绍2023 年底，Assetnote的安全研究团队发现了Citrix两个漏洞，他们与 Citrix 团队合作披露了该信息。Citrix StoreFront 是一个为用户聚合和呈现来自本地和混合部署的虚拟应用程序和桌面资源的企业应用程序商店，Citrix Session Recording 中的 CVE-2023-6184，它捕获并存储屏幕更新，包括鼠标活动和可视的显示输出。这两个应用程序都是用 C# 编写的，从源代码分析的角度来看，发现的漏洞很有趣，因为它们都滥用了 C# 生态系统的‘怪癖’。对于 Citrix StoreFront，该团队发现了 CVE-2023-5914，这是一个跨站点脚本问题，无需身份验证即可利用，此漏洞可通过在 SSO ………………………………