miércoles, 17 de diciembre de 2014

Cross-Site Scripting en Cisco ASA

Cisco ha anunciado la existencia de una vulnerabilidad en el software Cisco de losAdaptive Security Appliances (ASA) configurados para WebVPN, que podría permitir a un atacante realizar ataques de cross-site scripting.

El problema reside en la validación inadecuada de las entradas en la página de autenticación del portal WebVPN de Cisco ASA que podría permitir la ejecución de código script arbitrario (cross-site scripting). Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.

La vulnerabilidad tiene asignado el CVE-2014-8012. Cisco no ofrece actualizaciones gratuitas para este problema. Para obtener versiones actualizadas se debe contactar con el canal de soporte.

Más información:

Cisco Adaptive Security Appliance DOM Cross-Site Scripting Vulnerability in WebVPN Portal


Antonio Ropero
Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada