思科10年老漏洞，影响ASA软件WebVPN登录页面

E安全消息，12月2日，思科（Cisco）发布有关CVE-2014-2120漏洞的更新安全公告，该漏洞影响思科安全设备ASA软件的WebVPN登录页面。

此漏洞最初于2014年披露，使未经身份验证的远程攻击者对WebVPN用户执行跨站点脚本 （XSS） 攻击。

Cisco 的最新公告证实了此漏洞正在被积极利用，强调立即采取缓解措施的必要性。

CVE-2014-2120是思科自适应安全设备ASA软件的WebVPN登录页面中的跨站脚本（XSS）漏洞。

根据思科的最新公告，该漏洞由于“参数的输入验证不充分”引起，使攻击者能够制作恶意链接，当受害者访问这些链接时，这些链接会在其浏览器中执行任意脚本。

公告强调，利用这个漏洞可能会允许未经身份验证的远程攻击者针对受影响的思科ASA设备上的WebVPN用户。

2024 年 11 月，思科产品安全事件响应团队 （PSIRT）被提醒注意新一轮的漏洞利用活动。公司回应建议客户升级到固定软件版本来修复这个漏洞。

不过，思科声明不会为通过安全通告披露的漏洞提供免费软件更新。客户需要通过他们通常的支持渠道去获取必要的软件升级。

网络安全和基础设施安全局（CISA）2024年11月12日将CVE-2014-2120添加到其已知被利用漏洞（KEV）目录中，进一步强化了组织解决此漏洞的紧迫性。

对于依赖第三方提供思科产品支持的组织，建议联系自己的服务提供商，以确保应用的修复程序都适合其特定的网络配置。