Vulnerabilidad en Cisco Adaptive Security Appliance Software (CVE-2018-0251)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
19/04/2018
Última modificación:
15/08/2023
Descripción
Una vulnerabilidad en la pantalla Web Server Authentication Required del portal Clientless Secure Sockets Layer (SSL) VPN de Cisco Adaptive Security Appliance (ASA) Software podría permitir que un atacante remoto no autenticado lleve a cabo un ataque de Cross-Site Scripting (XSS) contra un usuario de ese portal en un dispositivo afectado. La vulnerabilidad se debe a la validación insuficiente de entrada de datos de parte del usuario en la interfaz web de un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad haciendo que un usuario de la interfaz haga clic en un enlace manipulado. Su explotación con éxito podría permitir al atacante ejecutar código script arbitrario en el contexto del portal o que pueda acceder a información sensible del navegador. Esta vulnerabilidad afecta a los siguientes productos de Cisco que ejecutan una versión vulnerable de Cisco ASA Software: 3000 Series Industrial Security Appliances, Adaptive Security Virtual Appliance (ASAv), ASA 5500 Series Adaptive Security Appliances, ASA 5500-X Series Next-Generation Firewalls, ASA Services Module for Cisco Catalyst 6500 Series Switches y ASA Services Module for Cisco 7600 Series Routers. Cisco Bug IDs: CSCvh20742.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:cisco:adaptive_security_appliance_software:9.8\(2.15\):*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:adaptive_security_appliance_software:9.9\(1\):*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página