NCSC-2020-0595 [1.01] [H/M] Kwetsbaarheid verholpen in Cisco ASA en FTD

Cisco heeft een directory-traversal-kwetsbaarheid verholpen in Cisco ASA- en FTD-software. Een ongeauthenticeerde kwaadwillende op afstand kan de kwetsbaarheid mogelijk misbruiken voor het verkrijgen van gevoelige informatie. Hiertoe dient malafide HTTP-verkeer naar het kwetsbare apparaat te worden verstuurd. Een succesvolle aanval leidt ertoe dat de kwaadwillende leestoegang krijgt tot bestanden op het Web Services-bestandssysteem. Dit bestandssysteem is alleen ingeschakeld wanneer de WebVPN- of AnyConnect-functionaliteit op het kwetsbare apparaat wordt gebruikt. De kwetsbaarheid kan niet worden misbruikt voor het uitlezen van ASA- of FTD-systeembestanden of bestanden van het onderliggende besturingssysteem.