5.8средняя
BDU:2019-04140 (CVE-2019-12695)
Уязвимость компонента Clientless SSL VPN (WebVPN) микропрограммного обеспечения межсетевых экранов Cisco Adaptive Security Appliance и Cisco Firepower Threat Defense, позволяющая нарушителю выполнить произвольный код или получить доступ к конфиденциальной информации
Опубликовано: 2019-11-19
Описание
Уязвимость компонента Clientless SSL VPN (WebVPN) микропрограммного обеспечения межсетевых экранов Cisco Adaptive Security Appliance и Cisco Firepower Threat Defense существует из-за непринятия мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код или получить доступ к конфиденциальной информации с помощью специально созданной ссылки
Затрагиваемое ПО и версии
Adaptive Security Appliance (от 9.10 до 9.10.1.30)Adaptive Security Appliance (до 9.6.4.31)Adaptive Security Appliance (от 9.7 до 9.8.4.9)Adaptive Security Appliance (от 9.9 до 9.9.2.56)Adaptive Security Appliance (от 9.12 до 9.12.2.9)Adaptive Security Appliance (от 9.13 до 9.13.1)Firepower Threat Defense (от 6.1.0 до 6.2.3.15)Firepower Threat Defense (от 6.3.0 до 6.3.0.5)Firepower Threat Defense (от 6.4.0 до 6.4.0.6)
Способ устранения
Использование рекомендаций производителя:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191002-asa-xss
Оценка CVSS
| Балл | 5.8 — средняя опасность |
Источники и патчи