Cisco Adaptive Security Appliance és Cisco Firepower Threat Defense sérülékenysége
Angol cím: Cisco Adaptive Security Appliance and Cisco Firepower Threat Defense Vulnerability
Publikálás dátuma: 2023.09.06.
Utolsó módosítás dátuma: 2024.04.03.
Leírás
A termék nem megfelelően hajtja végre jogosultsági ellenőrzést, amikor egy szereplő megpróbál hozzáférni egy erőforráshoz, vagy végrehajt egy műveletet. Ez lehetővé teszi a támadók számára a tervezett hozzáférési korlátozások megkerülését.
A termék megköveteli a hitelesítést, azonban az megkerülhető alternatív elérési útvonalon vagy csatornán keresztül.
Leírás forrása: CWE-863 CWE-288Elemzés leírás
Eredeti nyelven: A vulnerability in the remote access VPN feature of Cisco Adaptive Security Appliance (ASA) Software and Cisco Firepower Threat Defense (FTD) Software could allow an unauthenticated, remote attacker to conduct a brute force attack in an attempt to identify valid username and password combinations or an authenticated, remote attacker to establish a clientless SSL VPN session with an unauthorized user. This vulnerability is due to improper separation of authentication, authorization, and accounting (AAA) between the remote access VPN feature and the HTTPS management and site-to-site VPN features.
Elemzés leírás forrása: CVE-2023-20269Hatás
CVSS3.1 Súlyosság és Metrika
Alap pontszám: 9.1 (Kritikus)
Vektor: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
Hatás pontszáma: 5.2
Kihasználhatóság pontszáma: 3.9
Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Magas
Sértetlenség Hatása (I): Magas
Rendelkezésre állás Hatása (A): Nincs
Következmények
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Hivatkozások
Sérülékeny szoftverek
Cisco Adaptive Security Appliance Software
Cisco Firepower Threat Defense Software