CVE-2020-3187

Software Cisco Adaptive Security Appliance (ASA) e software Cisco Firepower Threat Defense (FTD) (versões afetadas não especificadas)

Uma vulnerabilidade na interface de serviços web poderia permitir que um invasor remoto não autenticado realizasse ataques de traversal de diretório e obtivesse acesso de leitura e exclusão a arquivos confidenciais em um sistema visado. A vulnerabilidade se deve à falta de validação adequada da entrada da URL HTTP. Um invasor poderia explorar essa vulnerabilidade enviando uma solicitação HTTP maliciosa contendo sequências de caracteres de traversal de diretório. Isso poderia permitir que o invasor visualizasse ou excluisse arquivos arbitrários dentro do sistema de arquivos dos serviços web, que é habilitado quando o dispositivo afetado está configurado com os recursos WebVPN ou AnyConnect. No entanto, essa vulnerabilidade não pode ser usada para obter acesso aos arquivos do sistema ASA ou FTD nem aos arquivos do sistema operacional (SO) subjacente. Reiniciar o dispositivo afetado restaurará todos os arquivos dentro do sistema de arquivos dos serviços web.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.