Cisco ASA设备的WebVPN DOM Wrapper跨站脚本漏洞

Cisco ASA设备的WebVPN DOM Wrapper跨站脚本漏洞 受影响系统：
Cisco ASA 8.2.1 
Cisco ASA 8.1.2
Cisco ASA 8.0(4)

不受影响系统：
Cisco ASA 8.1.2.25
Cisco ASA 8.0.4.34

描述：
Cisco自适应安全设备（ASA）是可提供安全和VPN服务的模块化平台。

ASA的DOM wrapper中存在跨站脚本漏洞。/+CSCOL+/cte.js中的csco_wrap_js JavaScript函数调用了CSCO_WebVPN[’process’]所引用的函数，之后在eval语句中使用了调用的结果。恶意网页可以使用会返回任意值的安全者定义函数重写CSCO_WebVPN[’process’]，在下一次调用csco_wrap_js函数的时候就会执行恶意代码。

厂商补丁：

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
http://www.cisco.com/pcgi-bin/tablebuild.pl/ASAPSIRT