Appliance Cisco Adaptive Security et logiciel Firepower Threat Defense VPN Services Web Client Vulnérabilités de type Cross-Site Scripting

Cisco Adaptive Security Appliance (ASA) Software et Cisco Firepower Threat Defense (FTD) Software présentent plusieurs vulnérabilités dans leur fonctionnalité de services de client Web VPN. Ces vulnérabilités pourraient permettre à un attaquant distant non authentifié de lancer une attaque de script intersite (XSS) contre un navigateur accédant à un appareil affecté. Les vulnérabilités sont dues à une validation incorrecte des entrées fournies par l'utilisateur vers les points de terminaison de l'application. Un attaquant pourrait exploiter ces vulnérabilités en persuadant un utilisateur de suivre un lien malveillant qui soumet des entrées malveillantes à l'application affectée. Une exploitation réussie pourrait permettre à l'attaquant d'exécuter du code HTML ou de script arbitraire dans le navigateur dans le contexte de la page des services Web. Cisco a publié des mises à jour logicielles pour résoudre ces vulnérabilités, mais il n'y a pas de solutions de contournement. L'avis de sécurité est disponible à un lien spécifique et fait partie de la publication de la sécurité du logiciel Cisco ASA, FMC et FTD de octobre 2024. La note d'impact de sécurité est moyenne. Les vulnérabilités sont identifiées comme CVE-2024-20341 et CVE-2024-20382. Il est conseillé aux utilisateurs de mettre à jour leur logiciel pour prévenir les attaques potentielles.