「Cisco ASA」のウェブVPNログインページ脆弱性 - 攻撃試行を確認
「Cisco Adaptive Security Appliance(ASA)」において、約10年以上前に公表された「ウェブVPN」のログインページに関する脆弱性が、攻撃の標的とされていることがわかった。
同製品のウェブVPNのログインページにクロスサイトスクリプティング(XSS)の脆弱性「CVE-2014-2120」が存在。
Cisco Systemsでは2014年3月にアドバイザリをリリースしていたが、2024年12月2日にアドバイザリを更新し、同脆弱性が悪用されていることを明らかにした。
入力パラメータの検証に問題があり、細工されたリンクをユーザーにクリックすると、ブラウザ上で任意のスクリプトが実行されるおそれがある。
共通脆弱性評価システム「CVSSv2」によるベーススコアは「4.3」、重要度は「中(Medium)」とレーティングされていた。
(Security NEXT - 2024/12/04 )
ツイート
関連リンク
PR
関連記事
「Next.js」に認可をバイパスされる脆弱性 - アップデートで修正
複数サーバがランサム被害、ファイルが暗号化 - 九州鉄鋼センター
事務局サーバの侵害、不審な検索結果から発覚 - 東亜大
米当局、IPカメラやNVRの脆弱性悪用で注意喚起 - EOL製品は使用中止を
11月のフィッシング攻撃は報告、URLともに過去2番目の規模
Fortinetの複数製品に脆弱性 - 「クリティカル」も
ブラウザ「Chrome」にアップデート - 複数の脆弱性を解消
情報連携ネットワークに患者情報を誤表示、設定ミスで - 大公大付属病院
不備書類の返送、異なる宛先に誤送付 - 船橋市
「Laravel」のモニタリングツールに脆弱性 - アップデートで修正