Cisco ha
anunciado la existencia de una vulnerabilidad en el software Cisco de
losAdaptive Security Appliances (ASA) configurados para WebVPN, que podría
permitir a un atacante realizar ataques de cross-site scripting.
Detalle e Impacto de la vulnerabilidad
- El problema reside en la validación inadecuada de las entradas en la página de autenticación del portal WebVPN de Cisco ASA que podría permitir la ejecución de código script arbitrario (cross-site scripting). Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.
- La vulnerabilidad tiene asignado el CVE-2014-8012.
- Cisco no ofrece actualizaciones gratuitas para este problema. Para obtener versiones actualizadas se debe contactar con el canal de soporte.
- Cisco Adaptive Security Appliance DOM Cross-Site Scripting Vulnerability in WebVPN Portal http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-8012