CVE-2020-3452

Software Cisco Adaptive Security Appliance (ASA) e Software Cisco Firepower Threat Defense (FTD) (versões afetadas não especificadas)

Existe uma falha na interface de serviços web dos softwares Cisco ASA e FTD devido à validação insuficiente de entradas. Isso permite que um invasor remoto não autenticado execute ataques de traversal de diretório e leia arquivos confidenciais em um sistema alvo. O problema decorre da validação inadequada de URLs em solicitações HTTP. Um invasor pode explorar essa vulnerabilidade enviando uma solicitação HTTP maliciosa contendo sequências de traversal de diretório. A exploração bem-sucedida permite a visualização de arquivos arbitrários no sistema de arquivos dos serviços web, que é habilitado quando os recursos WebVPN ou AnyConnect estão configurados. Este problema não pode ser usado para acessar arquivos do sistema ASA ou FTD nem os arquivos do sistema operacional subjacente. Relatórios indicam exploração generalizada deste problema, com invasores visando iscas e honeypots do Cisco IOS. Várias ferramentas e scripts foram desenvolvidos para escanear e explorar esta vulnerabilidade. A vulnerabilidade tem sido ativamente explorada e é considerada altamente perigosa.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.