CVE-2022-20737

Software Cisco Adaptive Security Appliance (ASA) (versões afetadas não especificadas)

O problema é causado por uma verificação de limites insuficiente durante a análise de mensagens específicas de autenticação HTTP, levando a um estouro de pilha no componente SSL VPN sem cliente do software Cisco Adaptive Security Appliance (ASA). Isso poderia permitir que um invasor remoto autenticado causasse uma condição de negação de serviço (DoS) em um dispositivo afetado ou obtivesse partes da memória de processo de um dispositivo afetado. O invasor precisaria controlar um servidor web que possa ser acessado através do portal Clientless SSL VPN para enviar tráfego malicioso a um dispositivo afetado atuando como um gateway VPN. Uma exploração bem-sucedida poderia permitir que o invasor fizesse com que o dispositivo fosse reiniciado, resultando em uma condição de DoS, ou recuperasse bytes da memória de processo do dispositivo que possam conter informações confidenciais.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.