シスコアダプティブセキュリティアプライアンスおよびファイアパワーサイバーセキュリティソフトウェア VPN Webクライアントサービスクロスサイトスクリプティング脆弱性

シスコのAdaptive Security Appliance（ASA）ソフトウェアおよびFirepower Threat Defense（FTD）ソフトウェアには、VPN Webクライアントサービス機能に複数の脆弱性が存在します。これらの脆弱性により、認証されていない遠隔の攻撃者が、影響を受けるデバイスにアクセスするブラウザに対してクロスサイトスクリプティング（XSS）攻撃を実行する可能性があります。脆弱性は、ユーザーが提供した入力の不適切な検証によるものです。攻撃者は、影響を受けるアプリケーションに悪意のある入力を送信するようにユーザーを説得することで、これらの脆弱性を悪用できます。攻撃が成功すると、攻撃者はWebサービスページのコンテキストで任意のHTMLまたはスクリプトコードをブラウザで実行できるようになります。シスコはこれらの脆弱性に対処するためにソフトウェアの更新をリリースしましたが、回避策はありません。アドバイザリは特定のリンクで利用可能であり、2024年10月のシスコASA、FMC、およびFTDソフトウェアセキュリティアドバイザリバンドルドパブリケーションの一部です。セキュリティの影響レーティングは中です。脆弱性はCVE-2024-20341およびCVE-2024-20382として識別されています。ユーザーは潜在的な攻撃を防ぐためにソフトウェアを更新することを推奨します。