Программное обеспечение Cisco Adaptive Security Appliance и Firepower Threat Defense Software VPN Web Client Services уязвимости к кросс-сайтинговым атакам скриптов

Программное обеспечение Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD) имеют несколько уязвимостей в функции веб-клиента VPN. Эти уязвимости могут позволить неавторизованному удаленному злоумышленнику провести атаку cross-site scripting (XSS) против браузера, доступного к затронутому устройству. Уязвимости возникают из-за неправильной валидации пользовательского ввода в конечные точки приложений. Злоумышленник может эксплуатировать эти уязвимости, убедив пользователя перейти по вредоносной ссылке, которая отправляет вредоносный ввод в затронутое приложение. Успешная эксплуатация могла бы позволить злоумышленнику выполнить произвольный HTML или код скрипта в браузере в контексте веб-страницы услуг. Cisco выпустила обновления программного обеспечения, чтобы устранить эти уязвимости, но нет обходных путей. Рекомендация доступна по конкретной ссылке и является частью октября 2024 года выпуска Cisco ASA, FMC и FTD Software Security Advisory Bundled Publication. Оценка безопасности - средняя. Уязвимости идентифицируются как CVE-2024-20341 и CVE-2024-20382. Пользователям рекомендуется обновить свое программное обеспечение, чтобы предотвратить возможные атаки.