Cisco ASA ソフトウェア WebVPN クロスサイト スクリプティング脆弱性

Cisco ASA ソフトウェア バージョン 8.0.4(28) および前は非認証を可能にする可能性がある脆弱性がクロスサイト スクリプティング攻撃を行なうためにリモート攻撃者含まれています。

脆弱性は WebVPN clientless モード 機能内の不十分な入力の検証が原因です。  攻撃者は任意 HTML の実行かサイトのセキュリティ コンテキスト内のユーザーのブラウザー セッションのスクリプト コードという結果に終る可能性があるクロスサイト スクリプティング攻撃を行なうのにこの脆弱性を不正利用する可能性があります。

プルーフ オブ コンセプト コードはこのクロスサイト スクリプティング攻撃を示して利用できます。

Cisco は脆弱性およびリリースされたソフトウェア アップデートを確認しました。

To エクスプロイトはこの脆弱性、WebVPN 機能の clientless モード 有効に する必要があります。 はまた攻撃者 JavaScript のような Webアプリケーション テクノロジーの使用を必要とするか、または Flash. がこれらのファクタ攻撃の確率を下げるブラウザに巧妙に細工された HTTP ヘッダをインジェクトできる必要があります。

exploit は the 攻撃者が WebVPN セッション クッキーを得、VPN デバイスに不正アクセスを得ることを可能にするかもしれません。

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。