Vulnérabilité dans plusieurs produits Cisco

Une vulnérabilité a été découverte dans les interfaces web de Cisco Adaptive Security Appliance (ASA) et Cisco Firepower Threat Defense (FTD). Elle peut permettre à un attaquant distant et non authentifié de provoquer une atteinte à la confidentialité de données potentiellement sensibles.

CVE-2020-3452 [Score CVSS v3 : 7.5] : Une vulnérabilité de type “validation incorrecte d’entrées” a été découverte dans les interfaces web de Cisco ASA et Cisco FTD. Elle est due à une validation incorrecte d’URLs dans des requêtes HTTP. Un attaquant distant et non authentifié peut exploiter cette vulnérabilité via une requête HTTP spécialement conçue afin de lire arbitrairement des fichiers et ainsi provoquer une atteinte à la confidentialité des données.

Selon Cisco, cette vulnérabilité est activement exploitée dans la nature.

Informations
+

Risques

  • Atteinte à la confidentialité des données

Criticité

  • Score CVSS v3 : 7.5

Existence d’un code d’exploitation

  • Selon Cisco, un code d’exploitation est disponible publiquement pour cette vulnérabilité. 

Composants vulnérables

  • Pour être vulnérable, Cisco ASA et Cisco FTP doivent être configurés selon certains paramètres qui sont précisés dans le bulletin Cisco

CVE

  • CVE-2020-3452


Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre à jour Cisco ASA et Cisco FTD vers des versions non vulnérables. Le détail des versions non vulnérables est disponible ici

Solution de contournement

  • Aucune solution de contournement