CVE-2024-20382

Nome do software vulnerável e versões afetadas:

Software Cisco Adaptive Security Appliance (ASA) (versões afetadas não especificadas)

Software Cisco Firepower Threat Defense (FTD) (versões afetadas não especificadas)

Descrição:

Uma vulnerabilidade no recurso de serviços de cliente web VPN pode permitir que um invasor remoto não autenticado realize um ataque de script entre sites (XSS) contra um navegador que esteja acessando um dispositivo afetado. Isso se deve à validação inadequada das entradas fornecidas pelo usuário aos pontos finais do aplicativo. Um invasor poderia explorar essa vulnerabilidade persuadindo um usuário a seguir um link projetado para enviar entradas maliciosas ao aplicativo afetado. Uma exploração bem-sucedida poderia permitir que o invasor executasse código HTML ou de script arbitrário no navegador no contexto da página de serviços da web.

Recomendações:

Para o software Cisco Adaptive Security Appliance (ASA), considere desativar o recurso de serviços de cliente web VPN até que um patch esteja disponível.

Para o software Cisco Firepower Threat Defense (FTD), restrinja o acesso ao recurso de serviços de cliente web VPN para minimizar o risco de exploração.

Como solução alternativa temporária, considere implementar a validação de todas as entradas fornecidas pelo usuário aos terminais do aplicativo.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.