发布日期：2020-07-22
更新日期：2020-08-11

受影响系统：

Cisco Firepower Threat Defense Software
Cisco Adaptive Security Appliance (ASA) Software

描述：

---

CVE(CAN) ID: CVE-2020-3452

Cisco Firepower Threat Defense是一套提供下一代防火墙服务的统一软件。Cisco Adaptive Security Appliances Software是一套防火墙和网络安全平台。该平台提供了对数据和网络资源的高度安全的访问等功能。
Cisco ASA Software和FTD Software的web服务接口存在只读路径遍历漏洞。该漏洞源于程序未正确验证HTTP请求中的URL输入。未经授权的远程攻击者可利用向受影响设备发送特制的包含目录遍历字符序列的HTTP请求发起目录遍历攻击并读取目标系统上的敏感文件。


<*来源：Ahmed Aboul-Ela（RedForce）
        Abdulrahman Nour（RedForce）
        Mikhail Klyuchnikov（Positive Technologies）
  
  链接：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ro-path-KJuQhB
*>

建议：

---

厂商补丁：

Cisco
-----
Cisco已经为此发布了一个安全公告（cisco-sa-asaftd-ro-path-KJuQhB86）以及相应补丁:
cisco-sa-asaftd-ro-path-KJuQhB86：Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software Web Services Read-Only Path Traversal Vulnerability
链接：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ro-path-KJuQhB

浏览次数：974
严重程度：0（网友投票）