CVE-2026-20102 Cisco — эксплойт и детали уязвимости MEDIUM

Параметр	Значение
CVSS	6,1 (MEDIUM)
Уязвимые версии	7.0.0 — 9.23.1.26
Устранено в версии	9.16.4.89
Тип уязвимости	CWE-79 (Межсайтовый скриптинг (XSS))
Поставщик	Cisco
Публичный эксплойт	Нет

Уязвимость в функции единого входа (SSO) SAML 2.0 программного обеспечения Cisco Secure Firewall ASA и программного обеспечения Cisco Secure Firewall Threat Defense (FTD) может позволить неаутентифицированному удаленному злоумышленнику провести атаку с использованием межсайтовых сценариев (XSS) против функции SAML и получить доступ к конфиденциальной информации на основе браузера. Эта уязвимость связана с недостаточной проверкой ввода нескольких параметров HTTP. Злоумышленник может воспользоваться этой уязвимостью, убедив пользователя получить доступ к вредоносной ссылке.

Успешный эксплойт может позволить злоумышленнику провести отраженную XSS-атаку через уязвимое устройство.

Показать оригинальное описание (EN)

A vulnerability in the SAML 2.0 single sign-on (SSO) feature of Cisco Secure Firewall ASA Software and Cisco Secure Firewall Threat Defense (FTD) Software could allow an unauthenticated, remote attacker to conduct a cross-site scripting (XSS) attack against the SAML feature and access sensitive, browser-based information. This vulnerability is due to insufficient input validation of multiple HTTP parameters. An attacker could exploit this vulnerability by persuading a user to access a malicious link. A successful exploit could allow the attacker to conduct a reflected XSS attack through an affected device.

Характеристики атаки

Способ атаки

По сети

Атака возможна удалённо

Сложность

Низкая

Легко эксплуатировать

Нужны права

Не требуются

Права не нужны

Участие пользователя

Требуется

Нужно действие пользователя

Последствия

Конфиденциальность

Низкое

Частичная утечка данных

Целостность

Низкое

Частичная модификация данных

Доступность

Нет

Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-79 Cross-Site Scripting (XSS) (Межсайтовый скриптинг (XSS))

Уязвимые продукты 9

Конфигурация	От (включительно)	До (исключительно)
Cisco Adaptive_Security_Appliance_Software cpe:2.3:o:cisco:adaptive_security_appliance_software::::::::	`9.16.1`	`9.16.4.89`
Cisco Adaptive_Security_Appliance_Software cpe:2.3:o:cisco:adaptive_security_appliance_software::::::::	`9.17.1`	`9.18.4.71`
Cisco Adaptive_Security_Appliance_Software cpe:2.3:o:cisco:adaptive_security_appliance_software::::::::	`9.20.1`	`9.20.4.19`
Cisco Adaptive_Security_Appliance_Software cpe:2.3:o:cisco:adaptive_security_appliance_software::::::::	`9.22.1.1`	`9.22.2.32`
Cisco Adaptive_Security_Appliance_Software cpe:2.3:o:cisco:adaptive_security_appliance_software::::::::	`9.23.1`	`9.23.1.26`
Cisco Firepower_Threat_Defense_Software cpe:2.3:a:cisco:firepower_threat_defense_software::::::::	`7.0.0`	`7.0.9`
Cisco Firepower_Threat_Defense_Software cpe:2.3:a:cisco:firepower_threat_defense_software::::::::	`7.1.0`	`7.2.11`
Cisco Firepower_Threat_Defense_Software cpe:2.3:a:cisco:firepower_threat_defense_software::::::::	`7.4.0`	`7.4.3`
Cisco Firepower_Threat_Defense_Software cpe:2.3:a:cisco:firepower_threat_defense_software::::::::	`7.6.0`	`10.0.0`

Ссылки 1

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/c…

psirt@cisco.com

Share Post Share Share Share

Связанные уязвимости

CVE-2026-20021

Cisco

4,3

CVE-2026-20131

Cisco

10,0

CVE-2026-20106

Cisco

5,3

CVE-2026-20105

Cisco

7,7

CVE-2026-20103

Cisco

8,6

Меню

CVE-2026-20102

Характеристики атаки

Последствия

Строка CVSS v3.1

Тип уязвимости (CWE)

Уязвимые продукты 9

Ссылки 1

Связанные уязвимости

CVE-2026-20021

CVE-2026-20131

CVE-2026-20106

CVE-2026-20105

CVE-2026-20103

Сводка

Выбор редакции

Меню

CVE-2026-20102

Характеристики атаки

Последствия

Строка CVSS v3.1

Тип уязвимости (CWE)

Уязвимые продукты 9

Ссылки 1

Связанные уязвимости

CVE-2026-20021

CVE-2026-20131

CVE-2026-20106

CVE-2026-20105

CVE-2026-20103

Сводка

Выбор редакции

Будьте в курсе кибербезопасности