2020-0154: Cisco Email Security Appliance, AsyncOS Software: Mehrere Schwachstellen ermöglichen u. a. einen Cross-Site-Scripting-Angriff

Historie:

Version 1 (2020-01-23 15:40)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Cisco

Beschreibung:

Zwei Schwachstellen in der AsyncOS Software der Cisco Email Security Appliance (ESA) ermöglichen einem entfernten, nicht authentisierten Angreifer durch das Senden manipulierter E-Mails das Umgehen von Sicherheitsvorkehrungen und die Durchführung eines Denial-of-Service (DoS)-Angriffs. Eine Schwachstelle in der Web-basierten Managementschnittstelle erlaubt einem solchen Angreifer die Durchführung eines Cross-Site-Scripting (XSS)-Angriffs.

Die beiden erstgenannten Schwachstellen betreffen laut Cisco die Cisco ESA Releases vor Version 13.0 und sind ab eben jener Version behoben. In der zu der Schwachstelle CVE-2020-3134 gehörenden Cisco Bug ID CSCvq65126 wird allerdings die Version 13.0.0-226 als verwundbar aufgeführt. Die Cross-Site-Scripting-Schwachstelle CVE-2020-3137 besteht auch im Cisco ESA Release 13.0. Ein Sicherheitsupdate zur Behebung dieser Schwachstelle steht aktuell nicht zur Verfügung (Cisco Bug ID CSCvr60347 Status: 'Open').

Schwachstellen:

CVE-2020-3133

Schwachstelle in Cisco Email Security Appliance ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-3134

Schwachstelle in Cisco Email Security Appliance ermöglicht Denial-of-Service-Angriff

CVE-2020-3137

Schwachstelle in Cisco Email Security Appliance ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.