CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-20069

MediumCVSS 4.3
Published: Updated: Translated: NVD NIST

Summary

Podatność w komponencie usług webowych VPN oprogramowania Cisco Secure Firewall Adaptive Security Appliance (ASA) oraz Cisco Secure Firewall Threat Defense (FTD) może umożliwić nieautoryzowanemu, zdalnemu atakującemu przeprowadzenie ataków opartych na przeglądarkach przeciwko użytkownikom dotkniętego urządzenia. Problem wynika z niewłaściwej walidacji żądań HTTP.

Risk Assessment

Atakujący może wykorzystać tę podatność do przeprowadzenia ataków typu cross-site scripting (XSS), co może prowadzić do kradzieży danych użytkowników lub innych działań szkodliwych. Choć atakujący nie może bezpośrednio wpłynąć na dotknięte urządzenie, może zaszkodzić użytkownikom korzystającym z jego usług.

Recommendation

Zaleca się aktualizację oprogramowania Cisco Secure Firewall ASA i FTD do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wprowadzić dodatkowe zabezpieczenia, takie jak filtrowanie ruchu HTTP oraz edukacja użytkowników na temat potencjalnych zagrożeń.

Original NVD description (English source)

A vulnerability in the VPN web services component of Cisco Secure Firewall Adaptive Security Appliance (ASA) Software and Cisco Secure Firewall Threat Defense (FTD) Software could allow an unauthenticated, remote attacker to conduct browser-based attacks against users of an affected device. This vulnerability is due to improper validation of HTTP requests. An attacker could exploit this vulnerability by persuading a user to visit a website that is designed to pass malicious HTTP requests to a device that is running Cisco Secure Firewall ASA Software or Cisco Secure FTD Software and has web services endpoints supporting VPN features enabled. A successful exploit could allow the attacker to reflect malicious input from the affected device to the browser that is in use and conduct browser-based attacks, including cross-site scripting (XSS) attacks. The attacker is not able to directly impact the affected device.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS