PT-2020-4701 · Cisco · Cisco Ftd+1
Publicado
2020-10-21
·
Atualizado
2022-05-26
·
CVE-2020-3578
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do software Cisco Adaptive Security Appliance (ASA) anteriores à versão corrigida
Versões do software Cisco Firepower Threat Defense (FTD) anteriores à versão corrigida
Descrição
O problema está relacionado à validação insuficiente de URLs quando regras de acesso ao portal são configuradas na interface de serviços web do software afetado. Isso poderia permitir que um invasor remoto não autenticado contornasse uma regra de acesso configurada e acessasse partes do portal WebVPN que deveriam estar bloqueadas. Um invasor poderia explorar essa vulnerabilidade acessando determinadas URLs no dispositivo afetado.
Recomendações
Para o software Cisco Adaptive Security Appliance (ASA), atualize para a versão corrigida.
Para o software Cisco Firepower Threat Defense (FTD), atualize para a versão corrigida.
Como solução alternativa temporária, considere restringir o acesso ao portal WebVPN até que um patch esteja disponível.
Evite acessar determinados URLs no dispositivo afetado que possam ser usados para explorar o problema.
Correção
DoS
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cisco Asa
Cisco Ftd