Cisco ASA torara ekranlaryň gowşaklygy üçin CVE-2020-3580 identifikatory berlip, ol saýtara skripting (XSS) gowşaklygy bolup durýar.

Cisco bu gowşaklygy ilkinji gezek 2020-nji ýylyň oktýabr aýynda ýüze çykaryp, düzetdi. Muňa garamazdan, CVE-2020-3580 gowşaklygy üçin çykarylan ilkinji düzediş doly düzetmedigi sebäpli, 2021-nji ýylyň aprel aýynda goşmaça düzediş çykaryldy.

Autentifikasiýa barlagyndan geçmedik ýaramaz niýetli ulanyjy bu gowşaklygyň kömegi bilen Cisco ASA enjamyň ulanyjysyna ýörite döredilen fişing elektron hatlary ýa-da zyýanly salgylanmalary iberip, ulanyjynyň brauzerinde JavaScript buýruklaryny ýerine ýetirip biler.

«Gowşaklygyň üstünlikli ulanylmagy ýaramaz niýetli ulanyjy üçin interfeýsiň çäginde islendik skript koduny ýerine ýetirmek ýa-da gizlin maglumatlary almak mümkinçilikleri berip bilýär" – diýip Cisco howpsuzlyk maslahatynda habar berilýär.

Positive Technologies Offensive Team gözlegçileri Cisco ASA CVE-2020-3580 gowşaklygy üçin PoC-eksploity köpçülige çykardylar. Tenable kompaniýanyň habar bermegine görä, PoC-eksploityň çykarylmagyndan soňra, düzgün bozujylar gowşaklykdan peýdalanyp başladylar. Bu gowşaklyk häzirki wagtda işjeň ulanylýandygy sebäpli, administratorlar üçin gowşak Cisco ASA enjamlaryna gysga wagtyň içinde düzedişleri gurnamak zerurdyr.

Çeşme: bleepingcomputer.com