Cisco · Cisco Asyncos · CVE-2024-20504
Nome do software vulnerável e versões afetadas:
Software Cisco AsyncOS para Cisco Secure Email and Web Manager, Secure Email Gateway e Secure Web Appliance (versões afetadas não especificadas)
Descrição:
Uma vulnerabilidade na interface de gerenciamento baseada na web poderia permitir que um invasor remoto autenticado realizasse um ataque de script entre sites (XSS) armazenado contra um usuário da interface. Este problema se deve à validação insuficiente da entrada do usuário, especificamente na variável `user input`. Um invasor poderia explorar essa vulnerabilidade persuadindo um usuário de uma interface afetada a clicar em um link malicioso, permitindo potencialmente que o invasor execute código de script arbitrário no contexto da interface afetada ou acesse informações confidenciais baseadas no navegador.
Recomendações:
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.