CVE-2022-20713

Software Cisco Adaptive Security Appliance (ASA) (versões afetadas não especificadas)

Software Cisco Firepower Threat Defense (FTD) (versões afetadas não especificadas)

O problema está relacionado à validação inadequada dos dados de entrada que são transmitidos ao componente de serviços do cliente web VPN antes de serem devolvidos ao navegador em uso. Isso poderia permitir que um invasor remoto não autenticado realizasse ataques baseados em navegador contra usuários de um dispositivo afetado. Um invasor poderia explorar essa vulnerabilidade persuadindo um usuário a visitar um site projetado para enviar solicitações maliciosas a um dispositivo que esteja executando o software Cisco ASA ou Cisco FTD e tenha pontos de extremidade de serviços web com recursos de VPN habilitados. Uma exploração bem-sucedida poderia permitir que o invasor refletisse entradas maliciosas do dispositivo afetado para o navegador em uso e realizasse ataques baseados no navegador, incluindo ataques de cross-site scripting.

Para o software Cisco Adaptive Security Appliance (ASA), considere desativar o recurso SSL VPN sem cliente até que uma correção esteja disponível.

Para o software Cisco Firepower Threat Defense (FTD), restrinja o acesso ao componente de serviços de cliente web VPN para minimizar o risco de exploração.

Evite usar pontos de extremidade de serviços web que suportem recursos de VPN até que o problema seja resolvido.

Como solução alternativa temporária, considere configurar o dispositivo para validar as entradas de forma mais rigorosa antes de as passar para o navegador.

No momento