漏洞描述:
漏洞对象】cisco ASA,FTD 【涉及版本】 【漏洞描述】思科自适应安全设备(ASA)软件和思科Firepower威胁防御(FTD)软件的Web服务界面中的漏洞可能允许未经身份验证的远程攻击者进行目录遍历攻击,并获得对目标系统上敏感文件的读取和删除访问权限。该漏洞是由于缺乏对HTTP URL的正确输入验证所致。攻击者可以通过发送包含目录遍历字符序列的特制HTTP请求来利用此漏洞。利用漏洞可以使攻击者查看或删除目标系统上的任意文件。利用此漏洞后重新加载设备时,将还原所有已删除的文件。攻击者只能查看和删除Web服务文件系统中的文件。当受影响的设备配置了WebVPN或AnyConnect功能时,将启用此文件系统。此漏洞不能用于获取对ASA或FTD系统文件或基础操作系统(OS)文件的访问。重新加载受影响的设备将还原Web服务文件系统中的所有文件 。
