• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Выход за пределы каталога

Главная Специалистам База уязвимостей Выход за пределы каталога

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Cisco ASA (9.0, 9.10, 9.10.1.37, 9.12, 9.12.3.2, 9.13, 9.13.1.7, 9.6.4.40, 9.7, 9.8.4.15, 9.9, 9.9.2.66) Cisco FTD (6.2, 6.2.3.16, 6.3.0, 6.3.0.6, 6.4.0, 6.4.0.8, 6.5.0, 6.5.0.4)
Описание
Уязвимость в интерфейсе веб-служб Cisco ASA и Cisco FTD, связанная с некорректной проверкой входных данных HTTP URL, позволяет злоумышленникам, не прошедшим аутентификацию и действующим удаленно, просмотреть или удалить файлы с важной информацией в целевой системе, отправив специально сформированный HTTP-запрос с последовательностью символов для перехода в другой каталог. После перезагрузки устройства все удаленные файлы будут восстановлены. Злоумышленник может просматривать и удалять файлы только в пределах файловой системы веб-служб. Данная файловая система используется, если настроены функции WebVPN или AnyConnect. Уязвимость не может быть использована для получения доступа к системным файлам ASA или FTD, а также файлам основной ОС.
Как исправить
Используйте рекомендации производителя:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-path-JE3azWw43
Ссылки
Источник: CVE
Наименование: CVE-2020-3187
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3187