Vulnérabilité d'injection de code HTML dans le logiciel de centre de gestion de pare-feu sécurisé de Cisco

Une vulnérabilité a été découverte dans le logiciel de centre de gestion de pare-feu sécurisé Cisco, anciennement logiciel de centre de gestion Firepower, qui pourrait permettre à un attaquant distant authentifié d'injecter du contenu HTML arbitraire dans un document généré par un appareil. Cette vulnérabilité est causée par une validation incorrecte des données fournies par l'utilisateur. Un attaquant pourrait exploiter cette vulnérabilité en soumettant du contenu malveillant à un appareil affecté et en utilisant l'appareil pour générer un document contenant des informations sensibles. Une exploitation réussie pourrait permettre à l'attaquant de modifier la mise en page standard des documents générés par l'appareil, d'accéder à des fichiers arbitraires du système d'exploitation sous-jacent et de lancer des attaques de falsification de requête côté serveur. Pour exploiter cette vulnérabilité, un attaquant aurait besoin de credentiels valides pour un compte utilisateur avec des autorisations d'édition de stratégie. Cisco a publié des mises à jour logicielles pour résoudre cette vulnérabilité, mais il n'y a pas de solutions de contournement disponibles. L'avis pour cette vulnérabilité est disponible sur le site web de Cisco et fait partie de la publication groupée d'avis de sécurité du logiciel ASA, FMC et FTD de Cisco pour octobre 2024. La note d'impact de sécurité pour cette vulnérabilité est Medium. Le numéro CVE pour cette vulnérabilité est CVE-2024-20274. Les utilisateurs sont conseillés d'appliquer les mises à jour logicielles pour prévenir les attaques potentielles.