CVE-2020-15504

除了diff分析补丁包之外,我们还可以通过另一种方式来发现n-day漏洞:分析不需要身份认证的(可以通过/webconsole/Controller端点调用的)所有后端函数。我们可以从Java函数getPreAuthOperationList中提取出对应的函数编号。
2020年4月25日,Sophos发布了安全公告,其中提到了影响XG Firewall产品线的一个未授权SQL注入(SQLi)漏洞。