Cisco ASA WebVPN sérülékenységek

CH azonosító

CH-2287

Felfedezés dátuma

2009.06.25.

Súlyosság

Alacsony

Érintett rendszerek

Adaptive Security Appliance (ASA)
CISCO

Érintett verziók

CISCO Adaptive Security Appliance (ASA) 8.x

Összefoglaló

Néhány sérülékenységet és egy biztonsági problémát jelentettek a Cisco Adaptive Security Appliance-ban (ASA), amelyet a rosszindulatú támadók kihasználhatnak cross-site scripting és hamisításos támadások lefolytatásához.

Leírás

Néhány sérülékenységet és egy biztonsági problémát jelentettek a Cisco Adaptive Security Appliance-ban (ASA), amelyet a rosszindulatú támadók kihasználhatnak cross-site scripting és hamisításos támadások lefolytatásához.

  1. Weboldalak közt átadott bevitel nincs megfelelően megtisztítva mielőtt az eval() függvény meghívásra kerülne (VPN web portal). Ez kihasználható tetszőleges HTML és szkript kód futtatására a felhasználó böngészőjének munkamenetében, a WebVPN-nel kapcsolatban.
  2. A VPN web portálnak, ROT13 kódolású lekérdezési paraméteren keresztül átadott bevitel nincs megfelelően megtisztítva mielőtt használatra kerülne. Ez kihasználható tetszőleges HTML és szkript kód futtatására a felhasználó böngészőjének munkamenetében, a VPN web portállal kapcsolatban.
  3. Egy biztonsági probléma jelentkezik a Common Internet File System (CIFS) és FTP megosztások kezelésénél az SSL VPN szolgáltatásban. Ez kihasználható hamisításos támadások lefolytatásához, és a felhasználói azonosságot tanúsító adatok feltárásához, amennyiben a felhasználó követ egy speciálisan elkészített hivatkozást.

A sérülékenységek a 8.0.4(34), 8.1.2.(25) és 8.2.1(3) előtti verziókat érinti, amennyiben engedélyezve van a “Clientless SSL VPN” kapcsolatok elfogadása.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-6463 – Wordpress sérülékenység
CVE-2024-51978 – Brother sérülékenység
CVE-2025-6554 – Google Chromium V8 sérülékenysége
CVE-2025-6543 – Citrix NetScaler sérülékenysége
CVE-2014-4078 – Microsoft Exchange szerver sérülékenység
CVE-2025-6170 – Red Hat sebezhetősége
CVE-2025-6021 – Red Hat sebezhetősége
CVE-2025-49796 – Red Hat sebezhetősége
CVE-2025-5777 – Citrix NetScaler sebezhetősége
Tovább a sérülékenységekhez »