• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Выход за пределы каталога

Главная Специалистам База уязвимостей Выход за пределы каталога

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:N/A:N)
Производитель ПО
Наименование ПО
Cisco ASA (9.10, 9.10.1.42, 9.12, 9.12.3.12, 9.13, 9.13.1.10, 9.14, 9.14.1.10, 9.6.4.42, 9.7, 9.8.4.20, 9.9, 9.9.2.74, Cisco ASA) Cisco FTD (6.2.2, 6.2.3.16, 6.3, 6.4.0.9, 6.5.0, 6.6.0.1)
Описание
Уязвимость в интерфейсе веб-служб Cisco ASA и Cisco FTD, связанная с некорректной проверкой URL-адресов в HTTP-запросах, позволяет злоумышленникам, не прошедшим аутентификацию и действующим удаленно, просмотреть файлы с важной информацией в целевой системе, отправив специально сформированный HTTP-запрос с последовательностью символов для перехода в другой каталог. Злоумышленник может просматривать файлы только в пределах файловой системы веб-служб. Данная файловая система используется, если настроены функции WebVPN или AnyConnect. Уязвимость не может быть использована для получения доступа к системным файлам ASA или FTD, а также файлам основной ОС.
Как исправить
Используйте рекомендации производителя:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ro-path-KJuQhB86
Ссылки
Источник: CVE
Наименование: CVE-2020-3452
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3452