BDU:2015-00182

Опубликовано: 10 апр. 2014

Источник: fstec

CVSS2: 5

EPSS Низкий

Описание

Уязвимость в реализации SSL VPN для многофункциональных устройств защиты Cisco (ASA) позволяет злоумышленникам, действующим удаленно, обойти аутентификацию, используя в составе измененных данных HTTP POST специально сформированные значения cookie или специально сформированные URL.

Вендор

Cisco Systems Inc.

Наименование ПО

Adaptive Security Appliance

Версия ПО

от 8.3 до 8.3(2.40) (Adaptive Security Appliance)

от 8.6 до 8.6(1.13) (Adaptive Security Appliance)

от 8.2 до 8.2(5.47) (Adaptive Security Appliance)

от 8.4 до 8.4(7.3) (Adaptive Security Appliance)

от 9.0 до 9.0(3.8) (Adaptive Security Appliance)

Тип ПО

ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140409-asa

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 48%

0.00248

Низкий

5 Medium

CVSS2

Связанные уязвимости

CVE-2014-2128

nvd

больше 11 лет назад

The SSL VPN implementation in Cisco Adaptive Security Appliance (ASA) Software 8.2 before 8.2(5.47, 8.3 before 8.3(2.40), 8.4 before 8.4(7.3), 8.6 before 8.6(1.13), 9.0 before 9.0(3.8), and 9.1 before 9.1(3.2) allows remote attackers to bypass authentication via (1) a crafted cookie value within modified HTTP POST data or (2) a crafted URL, aka Bug ID CSCua85555.

GHSA-9rf4-rh3m-rwm3