11月12日美國網路安全暨基礎設施安全局（CISA）指出，他們掌握思科ASA防火牆設備跨網站指令碼（XSS）漏洞CVE-2014-2120被用於攻擊行動的情報，並將其加入已遭利用漏洞列表（KEV），要求聯邦機構必須在12月3日完成修補，如今思科也證實這項漏洞遭到利用的現象。

這項漏洞存在於ASA設備的WebVPN登入網頁，一旦攻擊者利用，就有機會在未經授權的情況下，對部分WebVPN用戶發動跨網站指令碼攻擊，CVSS風險為4.3分，為中度風險漏洞。

思科12月2日更新公告內容，表示他們的產品事件回應團隊（PSIRT）於11月得知有人嘗試在實際攻擊利用這項漏洞的現象，呼籲用戶應升級軟體緩解這項弱點。