查看原文
其他

思科10年老漏洞,影响ASA软件WebVPN登录页面

E安全
2024-12-08


E安全消息,12月2日,思科(Cisco)发布有关CVE-2014-2120漏洞的更新安全公告,该漏洞影响思科安全设备ASA软件的WebVPN登录页面。


此漏洞最初于2014年披露,使未经身份验证的远程攻击者对WebVPN用户执行跨站点脚本 (XSS) 攻击。


Cisco 的最新公告证实了此漏洞正在被积极利用,强调立即采取缓解措施的必要性。



CVE-2014-2120是思科自适应安全设备ASA软件的WebVPN登录页面中的跨站脚本(XSS)漏洞。


根据思科的最新公告,该漏洞由于“参数的输入验证不充分”引起,使攻击者能够制作恶意链接,当受害者访问这些链接时,这些链接会在其浏览器中执行任意脚本。


公告强调,利用这个漏洞可能会允许未经身份验证的远程攻击者针对受影响的思科ASA设备上的WebVPN用户。


2024 年 11 月,思科产品安全事件响应团队 (PSIRT)被提醒注意新一轮的漏洞利用活动。公司回应建议客户升级到固定软件版本来修复这个漏洞。


不过,思科声明不会为通过安全通告披露的漏洞提供免费软件更新。客户需要通过他们通常的支持渠道去获取必要的软件升级。


网络安全和基础设施安全局(CISA)2024年11月12日将CVE-2014-2120添加到其已知被利用漏洞(KEV)目录中,进一步强化了组织解决此漏洞的紧迫性。


对于依赖第三方提供思科产品支持的组织,建议联系自己的服务提供商,以确保应用的修复程序都适合其特定的网络配置。



精彩推荐Trellix修补了关键漏洞:包括CVE-2024-11482(CVSS 评分9.8)

2024.12.3

全球首个!针对Linux系统的UEFI恶意引导工具:Bootkitty

2024.11.29

APT35活动:从美国到阿联酋,针对航空航天、半导体

2024.12.4


注:本文由E安全编译报道,转载请联系授权并注明来源。

继续滑动看下一个
E安全
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存