Vulnérabilité dans des produits Cisco
Date de publication :
Une vulnérabilité a été découverte dans des équipements distribués par Cisco, société spécialisée dans les équipements réseau.
Une vulnérabilité dans l'interface des services web du logiciel Cisco Adaptive Security Appliance (ASA) et du logiciel Cisco Firepower Threat Defense (FTD) pourrait permettre à un attaquant distant non authentifié de mener des attaques de traversée de répertoire et de lire des fichiers sensibles sur un système ciblé.
CVE-2020-3452 [Score CVSS v3 : 7.5] : La vulnérabilité est due à l'absence de validation adéquate des URL dans les requêtes HTTP traitées par un appareil affecté. Un attaquant pourrait exploiter cette vulnérabilité en envoyant à un appareil concerné une requête HTTP élaborée contenant des séquences de caractères spéciaux. Une exploitation réussie pourrait permettre à l'attaquant de visualiser des fichiers arbitraires dans le système de fichiers des services web sur l'appareil ciblé. La vulnérabilité n’est exploitable qu’en cas d’activation des fonctionnalités WebVPN ou AnyConnect.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Contournement dans la politique de sécurité
- Atteinte à la confidentialité des données
Criticité
- Score CVSS v3 : 7.5
Existence d’un code d’exploitation
- Facilité pour un attaquant de fabriquer son propre code d'exploit
Composants vulnérables
- Adaptive Security Appliance Software toutes versions
- Firepower Threat Defense Software toutes versions
CVE
- CVE-2020-3452
Solutions ou recommandations
Mise en place de correctifs de sécurité
Pour chaque version vulnérable, la mise à jour nécessaire est indiquée par Cisco pour chaque produit dans un tableau récapitulatif.
Solution de contournement
Aucune solution de contournement n’est disponible