Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Cisco ASA」のウェブVPNログインページ脆弱性 - 攻撃試行を確認

「Cisco Adaptive Security Appliance(ASA)」において、約10年以上前に公表された「ウェブVPN」のログインページに関する脆弱性が、攻撃の標的とされていることがわかった。

同製品のウェブVPNのログインページにクロスサイトスクリプティング(XSS)の脆弱性「CVE-2014-2120」が存在。

Cisco Systemsでは2014年3月にアドバイザリをリリースしていたが、2024年12月2日にアドバイザリを更新し、同脆弱性が悪用されていることを明らかにした。

入力パラメータの検証に問題があり、細工されたリンクをユーザーにクリックすると、ブラウザ上で任意のスクリプトが実行されるおそれがある。

共通脆弱性評価システム「CVSSv2」によるベーススコアは「4.3」、重要度は「中(Medium)」とレーティングされていた。

(Security NEXT - 2024/12/04 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Next.js」に認可をバイパスされる脆弱性 - アップデートで修正
複数サーバがランサム被害、ファイルが暗号化 - 九州鉄鋼センター
事務局サーバの侵害、不審な検索結果から発覚 - 東亜大
米当局、IPカメラやNVRの脆弱性悪用で注意喚起 - EOL製品は使用中止を
11月のフィッシング攻撃は報告、URLともに過去2番目の規模
Fortinetの複数製品に脆弱性 - 「クリティカル」も
ブラウザ「Chrome」にアップデート - 複数の脆弱性を解消
情報連携ネットワークに患者情報を誤表示、設定ミスで - 大公大付属病院
不備書類の返送、異なる宛先に誤送付 - 船橋市
「Laravel」のモニタリングツールに脆弱性 - アップデートで修正