22 de diciembre de 2014

CISCO ASA . Vulnerabilidad tipo Cross-Site Scripting

Cisco ha anunciado la existencia de una vulnerabilidad en el software Cisco de losAdaptive Security Appliances (ASA) configurados para WebVPN, que podría permitir a un atacante realizar ataques de cross-site scripting.

Detalle e Impacto de la vulnerabilidad
  •  El problema reside en la validación inadecuada de las entradas en la página de autenticación del portal WebVPN de Cisco ASA que podría permitir la ejecución de código script arbitrario (cross-site scripting). Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.
  •  La vulnerabilidad tiene asignado el CVE-2014-8012. 
Recomendación
  • Cisco no ofrece actualizaciones gratuitas para este problema. Para obtener versiones actualizadas se debe contactar con el canal de soporte.
Más información:
Fuente: Hispasec