Cisco ha anunciado la existencia de una vulnerabilidad
en el portal WebVPN de Cisco Adaptive Security Appliances (ASA) por la que un
atacante remoto podría conseguir información sensible del sistema afectado.
El problema
reside en la validación inadecuada de las entradas en el portal WebVPN del
Cisco ASA con versiones 8.4(.7.15) y anteriores. Un atacante podría explotar la
vulnerabilidad proporcionando un archivo JavaScript modificado a un usuario
WebVPN autenticado, y obtener información sensible del dispositivo afectado.
La
vulnerabilidad tiene asignado el CVE-2014-2151. Cisco no ofrece actualizaciones
gratuitas para los problemas considerados de gravedad baja a media, por lo que
los usuarios afectados deberán contactar con su canal de soporte para obtener
versiones actualizadas.
Más información:
- Cisco ASA WebVPN Information Disclosure
Vulnerability http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-2151