CVE-2025-20333｜Cisco ASA和Cisco FTD缓冲区溢出漏洞

0x00 前言

Cisco FTD（Firepower Threat Defense）和Cisco ASA（Adaptive Security Appliance）是思科的两款网络安全平台，核心区别在于功能定位与技术架构：

ASA‌ 作为传统防火墙，专注于基础状态检测、VPN及网络地址转换（NAT），适合需要稳定防火墙和VPN功能的中小型环境。

FTD‌ 整合了ASA的防火墙能力与Sourcefire的高级威胁防护（如NGIPS、恶意软件检测），提供应用层控制及威胁情报，适用于需全面安全防护的中大型企业‌。

两者硬件兼容但系统不同，部分设备（如Firepower 1000系列）支持通过固件切换操作系统‌。

0x01 漏洞描述

CVE-2025-20333

HTTP(S)请求中用户提供的输入验证不当漏洞，该漏洞可能允许具有有效VPN用户凭据的经过身份验证的远程攻击者通过发送精心设计的HTTP请求，在受影响的设备上以root身份执行任意代码。

CVE-2025-20362

HTTP(S)请求中用户提供的输入验证不当漏洞，该漏洞可能允许未经身份验证的远程攻击者通过发送精心设计的HTTP请求来访问受限的URL端点而无需身份验证。

0x02 CVE编号

CVE-2025-20333

CVE-2025-20362

0x03 影响版本

Cisco ASA 9.8.x-9.22.x

Cisco FTD 6.2.x-7.6.x

0x04 漏洞详情

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB

0x05 参考链接

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB