CVE-2020-3452
Оценки
EPSS
Процентиль: 94.5%
CVSS
Оценка CVSS: 7.5/10
Все оценки CVSS
Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Разбор вектора
CVSS (Common Vulnerability Scoring System) вектор предоставляет детальные метрики о характеристиках уязвимости
CVSS
Вектор атаки
Сеть (N)
Описывает способ эксплуатации уязвимости
Сложность атаки
Низкая (L)
Описывает условия, не зависящие от атакующего
Требуемые привилегии
Отсутствуют (N)
Описывает уровень привилегий, которыми должен обладать атакующий
Взаимодействие с пользователем
Отсутствует (N)
Отражает требование участия человека в атаке
Область воздействия
Неизменная (U)
Определяет, влияет ли успешная атака на компоненты за пределами уязвимого компонента
Воздействие на конфиденциальность
Высокое (H)
Измеряет воздействие на конфиденциальность информации
Воздействие на целостность
Отсутствует (N)
Измеряет воздействие на целостность при успешной эксплуатации уязвимости
Воздействие на доступность
Отсутствует (N)
Измеряет воздействие на доступность затронутого компонента
Вектор: AV:N/AC:L/Au:N/C:P/I:N/A:N
Разбор вектора
CVSS (Common Vulnerability Scoring System) вектор предоставляет детальные метрики о характеристиках уязвимости
CVSS
Вектор атаки
Сеть (N)
Описывает способ эксплуатации уязвимости
Сложность атаки
Низкая (L)
Описывает условия, не зависящие от атакующего
Аутентификация
Отсутствуют (N)
Описывает уровень привилегий, которыми должен обладать атакующий
Воздействие на конфиденциальность
Partial
Измеряет воздействие на конфиденциальность информации
Воздействие на целостность
Отсутствует (N)
Измеряет воздействие на целостность при успешной эксплуатации уязвимости
Воздействие на доступность
Отсутствует (N)
Измеряет воздействие на доступность затронутого компонента
Описание
Уязвимость в интерфейсе веб-служб Cisco Adaptive Security Appliance (ASA) Software и Cisco Firepower Threat Defense (FTD) Software может позволить неаутентифицированному удаленному злоумышленнику проводить атаки с обходом каталогов и читать конфиденциальные файлы в целевой системе. Уязвимость связана с отсутствием надлежащей проверки входных данных URL-адресов в HTTP-запросах, обрабатываемых уязвимым устройством. Злоумышленник может воспользоваться этой уязвимостью, отправив специально созданный HTTP-запрос, содержащий последовательности символов обхода каталогов, на уязвимое устройство. Успешная эксплуатация может позволить злоумышленнику просматривать произвольные файлы в файловой системе веб-служб на целевом устройстве. Файловая система веб-служб включается, когда уязвимое устройство настроено с функциями WebVPN или AnyConnect. Эту уязвимость нельзя использовать для получения доступа к системным файлам ASA или FTD или к файлам базовой операционной системы (ОС).
Сканер-ВС 7 — современное решение для управления уязвимостями
Источники
CWE
Связанные уязвимости
Эксплойты
ID эксплойта: CVE-2020-3452
Источник: github-poc
Уязвимое ПО (2)
Тип: Конфигурация
Поставщик: cisco
Продукт: adaptive_security_appliance_software
Операционная система: * * *
{
"children": [
{
"cpe_match": [
{
"cpe23uri": "cpe:2.3:o:cisco:adaptive_security_appliance_software:*:*:*:*:*:*:*:*",
"versionEndExcluding": "9.6.4.42",
...{
"children": [
{
"cpe_match": [
{
"cpe23uri": "cpe:2.3:o:cisco:adaptive_security_appliance_software:*:*:*:*:*:*:*:*",
"versionEndExcluding": "9.6.4.42",
"versionStartIncluding": "9.6",
"vulnerable": true
},
{
"cpe23uri": "cpe:2.3:o:cisco:adaptive_security_appliance_software:*:*:*:*:*:*:*:*",
"versionEndExcluding": "9.8.4.20",
"versionStartIncluding": "9.8",
"vulnerable": true
},
{
"cpe23uri": "cpe:2.3:o:cisco:adaptive_security_appliance_software:*:*:*:*:*:*:*:*",
"versionEndExcluding": "9.9.2.74",
"versionStartIncluding": "9.9",
"vulnerable": true
},
{
"cpe23uri": "cpe:2.3:o:cisco:adaptive_security_appliance_software:*:*:*:*:*:*:*:*",
"versionEndExcluding": "9.10.1.42",
"versionStartIncluding": "9.10",
"vulnerable": true
},
{
"cpe23uri": "cpe:2.3:o:cisco:adaptive_security_appliance_software:*:*:*:*:*:*:*:*",
"versionEndExcluding": "9.12.3.12",
"versionStartIncluding": "9.12",
"vulnerable": true
},
{
"cpe23uri": "cpe:2.3:o:cisco:adaptive_security_appliance_software:*:*:*:*:*:*:*:*",
"versionEndExcluding": "9.13.1.10",
"versionStartIncluding": "9.13",
"vulnerable": true
},
{
"cpe23uri": "cpe:2.3:o:cisco:adaptive_security_appliance_software:*:*:*:*:*:*:*:*",
"versionEndExcluding": "9.14.1.10",
"versionStartIncluding": "9.14",
"vulnerable": true
}
],
"operator": "OR"
},
{
"cpe_match": [
{
"cpe23uri": "cpe:2.3:h:cisco:asa_5505:-:*:*:*:*:*:*:*"
},
{
"cpe23uri": "cpe:2.3:h:cisco:asa_5510:-:*:*:*:*:*:*:*"
},
{
"cpe23uri": "cpe:2.3:h:cisco:asa_5512-x:-:*:*:*:*:*:*:*"
},
{
"cpe23uri": "cpe:2.3:h:cisco:asa_5515-x:-:*:*:*:*:*:*:*"
},
{
"cpe23uri": "cpe:2.3:h:cisco:asa_5520:-:*:*:*:*:*:*:*"
},
{
"cpe23uri": "cpe:2.3:h:cisco:asa_5525-x:-:*:*:*:*:*:*:*"
},
{
"cpe23uri": "cpe:2.3:h:cisco:asa_5540:-:*:*:*:*:*:*:*"
},
{
"cpe23uri": "cpe:2.3:h:cisco:asa_5545-x:-:*:*:*:*:*:*:*"
},
{
"cpe23uri": "cpe:2.3:h:cisco:asa_5550:-:*:*:*:*:*:*:*"
},
{
"cpe23uri": "cpe:2.3:h:cisco:asa_5555-x:-:*:*:*:*:*:*:*"
},
{
"cpe23uri": "cpe:2.3:h:cisco:asa_5580:-:*:*:*:*:*:*:*"
},
{
"cpe23uri": "cpe:2.3:h:cisco:asa_5585-x:-:*:*:*:*:*:*:*"
}
],
"operator": "OR"
}
],
"operator": "AND"
}Источник: nvd
Тип: Конфигурация
Поставщик: cisco
Продукт: firepower_threat_defense
Операционная система: * * *
{
"cpe_match": [
{
"cpe23uri": "cpe:2.3:a:cisco:firepower_threat_defense:*:*:*:*:*:*:*:*",
"versionEndExcluding": "6.2.3.16",
"versionStartIncluding": "6.2.3",
"vulnerabl...{
"cpe_match": [
{
"cpe23uri": "cpe:2.3:a:cisco:firepower_threat_defense:*:*:*:*:*:*:*:*",
"versionEndExcluding": "6.2.3.16",
"versionStartIncluding": "6.2.3",
"vulnerable": true
},
{
"cpe23uri": "cpe:2.3:a:cisco:firepower_threat_defense:*:*:*:*:*:*:*:*",
"versionEndExcluding": "6.3.0.6",
"versionStartIncluding": "6.3.0",
"vulnerable": true
},
{
"cpe23uri": "cpe:2.3:a:cisco:firepower_threat_defense:*:*:*:*:*:*:*:*",
"versionEndExcluding": "6.4.0.10",
"versionStartIncluding": "6.4.0",
"vulnerable": true
},
{
"cpe23uri": "cpe:2.3:a:cisco:firepower_threat_defense:*:*:*:*:*:*:*:*",
"versionEndExcluding": "6.5.0.5",
"versionStartIncluding": "6.5.0",
"vulnerable": true
},
{
"cpe23uri": "cpe:2.3:a:cisco:firepower_threat_defense:*:*:*:*:*:*:*:*",
"versionEndExcluding": "6.6.0.1",
"versionStartIncluding": "6.6.0",
"vulnerable": true
}
],
"operator": "OR"
}Источник: nvd