Vulnérabilité dans plusieurs produits Cisco
Date de publication :
Une vulnérabilité a été découverte dans les interfaces web de Cisco Adaptive Security Appliance (ASA) et Cisco Firepower Threat Defense (FTD). Elle peut permettre à un attaquant distant et non authentifié de provoquer une atteinte à la confidentialité de données potentiellement sensibles.
CVE-2020-3452 [Score CVSS v3 : 7.5] : Une vulnérabilité de type “validation incorrecte d’entrées” a été découverte dans les interfaces web de Cisco ASA et Cisco FTD. Elle est due à une validation incorrecte d’URLs dans des requêtes HTTP. Un attaquant distant et non authentifié peut exploiter cette vulnérabilité via une requête HTTP spécialement conçue afin de lire arbitrairement des fichiers et ainsi provoquer une atteinte à la confidentialité des données.
Selon Cisco, cette vulnérabilité est activement exploitée dans la nature.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Atteinte à la confidentialité des données
Criticité
Score CVSS v3 : 7.5
Existence d’un code d’exploitation
Selon Cisco, un code d’exploitation est disponible publiquement pour cette vulnérabilité.
Composants vulnérables
Pour être vulnérable, Cisco ASA et Cisco FTP doivent être configurés selon certains paramètres qui sont précisés dans le bulletin Cisco
CVE
CVE-2020-3452
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Cisco ASA et Cisco FTD vers des versions non vulnérables. Le détail des versions non vulnérables est disponible ici
Solution de contournement
Aucune solution de contournement