Cisco Adaptive Security Appliance und Firepower Threat Defense Software VPN Web Client Services Cross-Site Scripting Schwachstellen

Cisco Adaptive Security Appliance (ASA)-Software und Cisco Firepower Threat Defense (FTD)-Software haben mehrere Schwachstellen im VPN-Web-Clients-Dienst. Diese Schwachstellen könnten es einem unberechtigten, entfernten Angreifer ermöglichen, eine Cross-Site-Scripting (XSS)-Attacke auf einen Browser durchzuführen, der auf ein betroffenes Gerät zugreift. Die Schwachstellen sind auf fehlerhafte Validierung von Benutzereingaben an Anwendungsendpunkte zurückzuführen. Ein Angreifer könnte diese Schwachstellen ausnutzen, indem er einen Benutzer dazu überredet, einem schädlichen Link zu folgen, der schädliche Eingaben an die betroffene Anwendung sendet. Ein erfolgreicher Angriff könnte es dem Angreifer ermöglichen, beliebigen HTML- oder Skriptcode im Browser im Kontext der Webdienst-Seite auszuführen. Cisco hat Software-Updates veröffentlicht, um diese Schwachstellen zu beheben, aber es gibt keine Workarounds. Die Empfehlung ist verfügbar unter einem bestimmten Link und ist Teil der Oktober-2024-Veröffentlichung des Cisco ASA, FMC und FTD Software Security Advisory Bundled Publication. Die Sicherheitsauswirkungsbewertung ist mittel. Die Schwachstellen werden als CVE-2024-20341 und CVE-2024-20382 identifiziert. Benutzer werden empfohlen, ihre Software zu aktualisieren, um mögliche Angriffe zu vermeiden.