CVE-2020-3580

**Nome do software vulnerável e versões afetadas:

Software Cisco Adaptive Security Appliance (ASA) (versões afetadas não especificadas)

Software Cisco Firepower Threat Defense (FTD) (versões afetadas não especificadas)

Descrição:

O problema está relacionado à validação insuficiente das entradas fornecidas pelo usuário pela interface de serviços web dos dispositivos afetados, permitindo que um invasor remoto não autenticado realize ataques de cross-site scripting (XSS) contra um usuário da interface de serviços web. Um invasor poderia explorar essa vulnerabilidade persuadindo um usuário da interface a clicar em um link malicioso, o que poderia permitir que o invasor executasse código de script arbitrário no contexto da interface ou acessasse informações confidenciais baseadas no navegador. As vulnerabilidades afetam apenas configurações específicas do AnyConnect e do WebVPN. Houve relatos de exploração ativa dessa vulnerabilidade.

Recomendações:

Como solução alternativa temporária, considere desativar a interface de serviços web do dispositivo afetado até que uma correção esteja disponível.

Restrinja o acesso à interface de serviços web para minimizar o risco de exploração.

Evite usar a interface até que o problema seja resolvido.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.