Cisco
ha anunciado la existencia de una vulnerabilidad en el software Cisco de losAdaptive Security Appliances (ASA) configurados para WebVPN, que podría
permitir a un atacante realizar ataques de cross-site scripting.
El problema reside en la
validación inadecuada de las entradas en la página de autenticación del portal
WebVPN de Cisco ASA que podría permitir la ejecución de código script arbitrario
(cross-site scripting). Con ello el atacante podría acceder a las cookies
(incluyendo las de autenticación) y a información recientemente enviada, además
de poder realizar acciones en el sitio haciéndose pasar por la víctima.
La vulnerabilidad tiene asignado
el CVE-2014-8012. Cisco no ofrece actualizaciones gratuitas para este problema.
Para obtener versiones actualizadas se debe contactar con el canal de soporte.
Más información:
Cisco Adaptive Security Appliance DOM
Cross-Site Scripting Vulnerability in WebVPN Portal
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario