Katalog CVE

CVE-2026-20069

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Podatność w komponencie usług webowych VPN oprogramowania Cisco Secure Firewall Adaptive Security Appliance (ASA) oraz Cisco Secure Firewall Threat Defense (FTD) może umożliwić nieautoryzowanemu, zdalnemu atakującemu przeprowadzenie ataków opartych na przeglądarkach przeciwko użytkownikom dotkniętego urządzenia. Problem wynika z niewłaściwej walidacji żądań HTTP.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do przeprowadzenia ataków typu cross-site scripting (XSS), co może prowadzić do kradzieży danych użytkowników lub innych działań szkodliwych. Choć atakujący nie może bezpośrednio wpłynąć na dotknięte urządzenie, może zaszkodzić użytkownikom korzystającym z jego usług.

Rekomendacja

Zaleca się aktualizację oprogramowania Cisco Secure Firewall ASA i FTD do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wprowadzić dodatkowe zabezpieczenia, takie jak filtrowanie ruchu HTTP oraz edukacja użytkowników na temat potencjalnych zagrożeń.

Oryginalny opis (angielski, źródło NVD)

A vulnerability in the VPN web services component of Cisco Secure Firewall Adaptive Security Appliance (ASA) Software and Cisco Secure Firewall Threat Defense (FTD) Software could allow an unauthenticated, remote attacker to conduct browser-based attacks against users of an affected device. This vulnerability is due to improper validation of HTTP requests. An attacker could exploit this vulnerability by persuading a user to visit a website that is designed to pass malicious HTTP requests to a device that is running Cisco Secure Firewall ASA Software or Cisco Secure FTD Software and has web services endpoints supporting VPN features enabled. A successful exploit could allow the attacker to reflect malicious input from the affected device to the browser that is in use and conduct browser-based attacks, including cross-site scripting (XSS) attacks. The attacker is not able to directly impact the affected device.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS