Vulnerabilidades de scripting entre sitios en los servicios de cliente web de VPN de Cisco Adaptive Security Appliance y Firepower Threat Defense Software

El software Cisco Adaptive Security Appliance (ASA) y el software Cisco Firepower Threat Defense (FTD) tienen varias vulnerabilidades en su característica de servicios de cliente web de VPN. Estas vulnerabilidades podrían permitir que un atacante remoto no autenticado realice un ataque de secuencia de comandos entre sitios (XSS) contra un navegador que accede a un dispositivo afectado. Las vulnerabilidades se deben a una validación inadecuada de la entrada proporcionada por el usuario a los puntos finales de la aplicación. Un atacante podría explotar estas vulnerabilidades persuadiendo a un usuario para que siga un enlace malicioso que envíe entrada maliciosa a la aplicación afectada. Un ataque exitoso podría permitir al atacante ejecutar código HTML o de script arbitrario en el navegador en el contexto de la página de servicios web. Cisco ha lanzado actualizaciones de software para abordar estas vulnerabilidades, pero no hay soluciones alternativas. El aviso está disponible en un enlace específico y forma parte de la publicación de octubre de 2024 de la publicación de seguridad de software de Cisco ASA, FMC y FTD. La calificación de impacto de seguridad es media. Las vulnerabilidades se identifican como CVE-2024-20341 y CVE-2024-20382. Se aconseja a los usuarios que actualicen su software para prevenir posibles ataques.