Расширенный

Выход за пределы каталога

Выход за пределы каталога

12 Мая 2020
Уровень опасности
Производитель ПО
Наименование ПО
Cisco ASA (9.0, 9.10, 9.10.1.37, 9.12, 9.12.3.2, 9.13, 9.13.1.7, 9.6.4.40, 9.7, 9.8.4.15, 9.9, 9.9.2.66)
Cisco FTD (6.2, 6.2.3.16, 6.3.0, 6.3.0.6, 6.4.0, 6.4.0.8, 6.5.0, 6.5.0.4)
Описание
Уязвимость в интерфейсе веб-служб Cisco ASA и Cisco FTD, связанная с некорректной проверкой входных данных HTTP URL, позволяет злоумышленникам, не прошедшим аутентификацию и действующим удаленно, просмотреть или удалить файлы с важной информацией в целевой системе, отправив специально сформированный HTTP-запрос с последовательностью символов для перехода в другой каталог. После перезагрузки устройства все удаленные файлы будут восстановлены. Злоумышленник может просматривать и удалять файлы только в пределах файловой системы веб-служб. Данная файловая система используется, если настроены функции WebVPN или AnyConnect. Уязвимость не может быть использована для получения доступа к системным файлам ASA или FTD, а также файлам основной ОС.
Как исправить
Используйте рекомендации производителя:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-path-JE3azWw43
Ссылки
Источни: CVE
Наименование: CVE-2020-3187
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3187