近日，Cisco针对CVE-2020-3452发布了安全漏洞通告，深圳市网络与信息安全信息通报中心也公告了此漏洞，CVE-2020-3452是影响Adaptive Security Appliance（ASA）和思科Firepower Threat Defense（FTD）软件的目录遍历漏洞，CVSS评分7.5。
  思科Adaptive Security Appliance（ASA）和思科Firepower Threat Defense（FTD）软件的 web 管理界面接口存在漏洞，允许未经身份验证的攻击者可通过向目标设备的Web服务器发送特制请求包读取Web目录下的文件。该漏洞无需交互、不需要身份认证，成功利用该漏洞的攻击者可以查看WebVpn配置信息、书签、Web Cookies、部分Web内容、HTTP URLs等敏感信息。不过攻击者只能查看Web目录下的文件，无法通过该漏洞访问Web目录之外的文件。

影响范围：
Cisco ASA，Cisco FTD
    

Cisco ASA 设备影响版本:

• <9.6.1

• 9.6 < 9.6.4.42

• 9.71

• 9.8 < 9.8.4.20

• 9.9 < 9.9.2.74

• 9.10 < 9.10.1.42

• 9.12 < 9.12.3.12

• 9.13 < 9.13.1.10

• 9.14 < 9.14.1.10

Cisco FTD设备影响版本：

 

• 6.2.2

• 6.2.3 < 6.2.3.16

• 6.3.0 < Migrate to 6.4.0.9 + Hot Fix or to 6.6.0.1

• 6.4.0 < 6.4.0.9 + Hot Fix

• 6.5.0 < Migrate to 6.6.0.1 or 6.5.0.4 + Hot Fix (August 2020)

• 6.6.0 < 6.6.0.1
  
  修复建议：
   

  Cisco ASA：

• 9.6 版本以前升级到某一修复版本

• 9.6 版本升级到 9.6.4.42 版本

• 9.7 版本升级到某一修复版本

• 9.8 版本升级到 9.8.4.20 版本

• 9.9 版本升级到 9.9.2.74 版本

• 9.10 版本升级到 9.10.1.42 版本

• 9.12 版本升级到 9.12.3.12 版本

• 9.13 版本升级到 9.13.1.10 版本

• 9.14 版本升级到 9.14.1.10 版本

• Cisco FTD：

• 6.2.2 版本升级到某一修复版本

• 6.2.3 版本升级到 6.2.3.16 版本

• 6.3.0 版本升级到 6.3.0.5(Hot Fix)/6.3.0.6/6.4.0.9(Hot Fix)/6.6.0.1 版本

• 6.4.0 版本升级到 6.4.0.9(Hot Fix)/6.4.0.10 版本

• 6.5.0 版本升级到 6.5.0.4(Hot Fix)/6.5.0.5/6.6.0.1 版本

• 6.6.0 版本升级到 6.6.0.1 版本