Adaptive Security Appliance (ASA) and Firepower Threat Defense (FTD)

Die Schwachstelle betrifft die Web-Services-Schnittstelle der Sicherheits-Software Adaptive Security Appliance (ASA) und Firepower Threat Defense (FTD) von Cisco. Ursache ist eine unzureichende Prüfung von Eingaben, die ein Benutzer an diese Schnittstelle übergibt. Dadurch kann ein Angreifer aus der Ferne und ohne vorherige Anmeldung einen sogenannten Cross-Site-Scripting-Angriff durchführen. Der Angriff setzt allerdings Mithilfe des Opfers voraus: Der Angreifer muss einen Benutzer der Schnittstelle dazu bringen, auf einen präparierten Link zu klicken. Gelingt das, kann er im Kontext der Schnittstelle beliebigen Skriptcode im Browser des Opfers ausführen oder an vertrauliche, im Browser gespeicherte Informationen gelangen. Betroffen sind nach Herstellerangaben nur bestimmte Konfigurationen der Fernzugriffsfunktionen AnyConnect und WebVPN; Geräte ohne diese Konfigurationen sind nicht angreifbar.