Vulnerabilidad en Cisco ASA 5500 Series Adaptive Security Appliance (CVE-2009-4455)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-264
Permisos, privilegios y/o control de acceso
Fecha de publicación:
29/12/2009
Última modificación:
09/04/2025
Descripción
La configuración por defecto de Cisco ASA 5500 Series Adaptive Security Appliance (Cisco ASA) v7.0, v7.1, v7.2, v8.0, v8.1, y v8.2 permite que el tráfico del portal acceda a servidores de su elección en el backend, lo que podría permitir a usuarios autenticados remotamente eludir las restricciones de acceso implementadas y acceder a sitios web no autorizados mediante una URL ofuscada con ROT13 y cierto cifrado. NOTA: este comportamiento fue reportado originalmente como una carencia de restricciones en el listado de URLs en el componente de marcadores de Cisco WebVPN, pero el fabricante mantiene que "la característica de marcador no es una característica de seguridad"
Impacto
Puntuación base 2.0
6.50
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:h:cisco:adaptive_security_appliance_5500:7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:adaptive_security_appliance_5500:7.1:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:adaptive_security_appliance_5500:7.2:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:adaptive_security_appliance_5500:8.0:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:adaptive_security_appliance_5500:8.1:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:adaptive_security_appliance_5500:8.2:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://osvdb.org/61132
- http://secunia.com/advisories/37710
- http://tools.cisco.com/security/center/viewAlert.x?alertId=19609
- http://www.securityfocus.com/archive/1/508530/100/0/threaded
- http://www.securitytracker.com/id?1023368=
- http://www.vupen.com/english/advisories/2009/3577
- http://osvdb.org/61132
- http://secunia.com/advisories/37710
- http://tools.cisco.com/security/center/viewAlert.x?alertId=19609
- http://www.securityfocus.com/archive/1/508530/100/0/threaded
- http://www.securitytracker.com/id?1023368=
- http://www.vupen.com/english/advisories/2009/3577