■ 漏洞描述
Cisco针对CVE-2020-3452发布了安全漏洞通告，CVE-2020-3452是影响Adaptive Security Appliance（ASA）和思科Firepower Threat Defense（FTD）软件的目录遍历漏洞。
思科Adaptive Security Appliance（ASA）和思科Firepower Threat Defense（FTD）软件的Web服务界面中的漏洞允许未经身份验证的攻击者远程读取目标系统上的敏感文件。
该漏洞是由于受影响的设备处理HTTP请求中的URL时缺乏正确的输入验证所致。 攻击者可以通过将包含特殊目录遍历字符序列(../)的特制HTTP请求发送到受影响的设备来利用此漏洞。
成功利用该漏洞的攻击者可以在目标设备上查看位于Web服务文件系统的任意文件。在受影响的设备上Web服务文件系统只有在配置了WebVPN或AnyConnect功能后才会启用。
此漏洞不能用于获取对ASA或FTD的系统文件或底层操作系统（OS）文件的访问。

 
■ 影响范围
Cisco ASA 设备影响版本:
<9.6.1
9.6 < 9.6.4.42
9.71
9.8 < 9.8.4.20
9.9 < 9.9.2.74
9.10 < 9.10.1.42
9.12 < 9.12.3.12
9.13 < 9.13.1.10
9.14 < 9.14.1.10
Cisco ASA软件9.5版及更早版本以及9.7版已经停止维护，建议客户迁移安全版本。
Cisco FTD设备影响版本：
6.2.2
6.2.3 < 6.2.3.16
6.3.0 < Migrate to 6.4.0.9 + Hot Fix or to 6.6.0.1
6.4.0 < 6.4.0.9 + Hot Fix
6.5.0 < Migrate to 6.6.0.1 or 6.5.0.4 + Hot Fix (August 2020)
6.6.0 < 6.6.0.1

 
■ 漏洞检测
1、匹配版本

 
■ 漏洞修复
思科已经发布了解决此漏洞的软件更新，建议受影响用户尽快升级到安全版本，安装和更新方式可以参考以下通告：
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ro-path-KJuQhB86

 
■ 临时修复
限制公网访问。

 
■ 漏洞详情
https://vas.riskivy.com/vuln-detail?id=51