Расширенный

Выход за пределы каталога

Выход за пределы каталога

30 Июля 2020
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:N/A:N)
Производитель ПО
Наименование ПО
Cisco ASA (9.10, 9.10.1.42, 9.12, 9.12.3.12, 9.13, 9.13.1.10, 9.14, 9.14.1.10, 9.6.4.42, 9.7, 9.8.4.20, 9.9, 9.9.2.74, Cisco ASA)
Cisco FTD (6.2.2, 6.2.3.16, 6.3, 6.4.0.9, 6.5.0, 6.6.0.1)
Описание
Уязвимость в интерфейсе веб-служб Cisco ASA и Cisco FTD, связанная с некорректной проверкой URL-адресов в HTTP-запросах, позволяет злоумышленникам, не прошедшим аутентификацию и действующим удаленно, просмотреть файлы с важной информацией в целевой системе, отправив специально сформированный HTTP-запрос с последовательностью символов для перехода в другой каталог. Злоумышленник может просматривать файлы только в пределах файловой системы веб-служб. Данная файловая система используется, если настроены функции WebVPN или AnyConnect. Уязвимость не может быть использована для получения доступа к системным файлам ASA или FTD, а также файлам основной ОС.
Как исправить
Используйте рекомендации производителя:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ro-path-KJuQhB86
Ссылки
Источни: CVE
Наименование: CVE-2020-3452
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3452