Cisco Secure Firewall Management Center ソフトウェアの HTML インジェクション 脆弱性

Cisco Secure Firewall Management Center Software（旧称Firepower Management Center Software）で脆弱性が発見されました。この脆弱性を悪用することで、認証されたリモートアタッカーが、デバイスが生成するドキュメントに任意のHTMLコンテンツを挿入することができます。この脆弱性は、ユーザーが提供するデータの検証が不適切であるため起こります。攻撃者は、影響を受けるデバイスに悪意のあるコンテンツを提出し、デバイスが生成するドキュメントに機密情報を含むように仕向けることができます。成功すれば、攻撃者はデバイスが生成するドキュメントの標準的なレイアウトを変更し、基礎となるオペレーティングシステムの任意のファイルにアクセスし、サーバーサイドリクエストフォージェリー攻撃を実行することができます。この脆弱性を悪用するには、ポリシーエディットパーミッションを持つユーザーアカウントの有効な資格情報が必要です。Ciscoはこの脆弱性に対処するソフトウェア更新をリリースしましたが、回避策はありません。この脆弱性に関するアドバイザリーは、Ciscoのウェブサイトで入手可能で、2024年10月のCisco ASA、FMC、FTDソフトウェアセキュリティアドバイザリーのバンドルパブリケーションの一部です。この脆弱性のセキュリティインパクトレーティングはMediumです。この脆弱性のCVE番号はCVE-2024-20274です。ユーザーは、潜在的な攻撃を防ぐためにソフトウェア更新を適用することをお勧めします。