시스코 보안 방화벽 관리 센터 소프트웨어 HTML 주입 취약점

시스코 보안 방화벽 관리 센터 소프트웨어(이전에는 파워풀 관리 센터 소프트웨어였음)에 취약점이 발견되었습니다. 이 취약점은 인증된 원격 공격자가 임의의 HTML 콘텐츠를 장치 생성 문서에 삽입할 수 있도록 할 수 있습니다. 이 취약점은 사용자 제공 데이터의 잘못된 유효성 검증으로 인해 발생합니다. 공격자는 영향을 받는 장치에 악의적인 콘텐츠를 제출하고, 장치를 사용하여 민감한 정보를 포함하는 문서를 생성하여 이 취약점을 악용할 수 있습니다. 성공적인 공격은 공격자가 장치 생성 문서의 표준 레이아웃을 변경하고, 기본 운영 체제에서 임의의 파일에 액세스하고, 서버 측 요청 위조 공격을 수행할 수 있도록 할 수 있습니다. 이 취약점을 악용하려면 정책 편집 권한이 있는 사용자 계정에 대한 유효한 자격 증명이 필요합니다. 시스코는 이 취약점을 해결하기 위해 소프트웨어 업데이트를 출시했지만, 대안은 없습니다. 이 취약점에 대한 고지는 시스코 웹사이트에 있으며, 2024년 10월에 출시된 시스코 ASA, FMC 및 FTD 소프트웨어 보안 고지 묶음 출판의 일부입니다. 이 취약점의 보안 영향 등급은 중간입니다. 이 취약점의 CVE 번호는 CVE-2024-20274입니다. 사용자는 잠재적인 공격을 방지하기 위해 소프트웨어 업데이트를 적용하는 것이 좋습니다.