Cisco informuje o nowej podatności. (P23-359)

cert.pse-online.pl 1 rok temu
ProduktCisco ASA Software
Cisco FTD Software
Numer CVECVE-2023-20275
Krytyczność4,1/10
CVSSAV:N/AC:L/PR:L/UI:R/S:C/C:N/I:L/A:N
OpisLuka w funkcji AnyConnect SSL VPN systemu Cisco Adaptive Security Appliance (ASA) i Cisco Firepower Threat Defense (FTD) może pozwolić uwierzytelnionej, zdalnej osobie atakującej na wysyłanie pakietów ze źródłowym adresem IP innego użytkownika VPN. Luka ta wynika z nieprawidłowej weryfikacji wewnętrznego źródłowego adresu IP pakietu po odszyfrowaniu. Osoba atakująca może wykorzystać tę lukę, wysyłając spreparowane pakiety przez tunel. Udany exploit może umożliwić atakującemu wysłanie pakietu podszywającego się pod adres IP innego użytkownika VPN. Osoba atakująca nie ma możliwości odebrania pakietów zwrotnych.
AktualizacjaTAK
Linkhttps://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-ssl-vpn-Y88QOm77
Idź do oryginalnego materiału