시스코 적응형 보안 장치 및 파이어파워 위협 방어 소프트웨어 VPN 웹 클라이언트 서비스 크로스 사이트 스크립팅 취약점

시스코 어댑티브 시큐리티 어플라이언스(ASA) 소프트웨어와 시스코 파이어파워 스레트 디펜스(FTD) 소프트웨어는 VPN 웹 클라이언트 서비스 기능에 여러 취약점이 있습니다. 이러한 취약점은 인증되지 않은 원격 공격자가 영향을 받는 장치에 액세스하는 브라우저에 대한 크로스 사이트 스크립팅(XSS) 공격을 수행할 수 있습니다. 취약점은 응용 프로그램 엔드포인트에 사용자 제공 입력의 잘못된 유효성 검사로 인해 발생합니다. 공격자는 영향을 받는 응용 프로그램에 악의적인 입력을 제출하는 악의적인 링크를 사용자에게 따라하도록 설득하여 이러한 취약점을 악용할 수 있습니다. 성공적인 공격은 공격자가 웹 서비스 페이지의 컨텍스트에서 임의의 HTML 또는 스크립트 코드를 브라우저에서 실행할 수 있도록 할 수 있습니다. 시스코는 이러한 취약점을 해결하기 위해 소프트웨어 업데이트를 출시했지만, 우회 방법은 없습니다. 이 고지는 특정 링크에서 사용할 수 있으며, 2024년 10월 시스코 ASA, FMC 및 FTD 소프트웨어 보안 고지 묶음 출판의 일부입니다. 보안 영향 등급은 중간입니다. 취약점은 CVE-2024-20341 및 CVE-2024-20382로 식별됩니다. 사용자는 잠재적인 공격을 방지하기 위해 소프트웨어를 업데이트하는 것이 좋습니다.