PT-2024-18669 · Cisco · Cisco Meraki Z Series Teleworker Gateway+2
Keane Okelley
·
Publicado
2024-10-02
·
Atualizado
2024-10-08
·
CVE-2024-20501
CVSS v3.1
8.6
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Dispositivos Cisco Meraki MX e Cisco Meraki Z Series Teleworker Gateway (versões afetadas não especificadas)
Descrição
O problema se deve à validação insuficiente dos parâmetros fornecidos pelo cliente durante o estabelecimento de uma sessão SSL VPN. Um invasor poderia explorar essa vulnerabilidade enviando uma solicitação HTTPS maliciosa ao servidor VPN de um dispositivo afetado, fazendo com que o servidor Cisco AnyConnect VPN reinicie. Isso resulta na falha das conexões SSL VPN estabelecidas, forçando os usuários remotos a iniciar uma nova conexão VPN e se reautenticar. Um ataque prolongado poderia impedir que novas conexões SSL VPN fossem estabelecidas. Quando o tráfego de ataque cessa, o servidor VPN Cisco AnyConnect se recupera sem a necessidade de intervenção manual.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Memory Corruption
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cisco Anyconnect Vpn Server
Cisco Meraki Mx
Cisco Meraki Z Series Teleworker Gateway