2020-0155: Cisco Web Security Appliance (WSA), Cisco Content Security Management Appliance (SMA): Eine Schwachstelle ermöglicht ...

Historie:

Version 1 (2020-01-23 15:11)

Neues Advisory

Version 2 (2020-02-05 10:21)

Cisco informiert darüber, dass Cisco WSA 12.0.1-268 ebenfalls von der Schwachstelle betroffen ist.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Cisco

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer, der einen Benutzer zum Zugriff auf eine manipulierte URL verleitet, kann die Schwachstelle ausnutzen, um beliebige HTTP-Header in eine valide HTTP-Antwort zu injizieren, die an den Browser eines Benutzers gesendet wird.

Cisco gibt im Security Advisory an, dass die AsyncOS Releases beginnend mit 11.8.0-382 für Cisco WSA und 13.0.0.-187 für Cisco SMA die Schwachstelle beheben, verweist aber zusätzlich auf die im Advisory referenzierten Cisco Bug IDs CSCvq04931 und CSCvp16724 für die aktuellsten Informationen bezüglich verwundbarer und fehlerkorrigierter Versionen. In der Cisco Bug ID CSCvq04931 wird die Cisco AsyncOS Version 11.8.0-382 für WSA unter der Sektion 'bekannte verwundbare Versionen' geführt und der Status der Schwachstelle als 'offen' angegeben. Die Angaben bezüglich der Version des Sicherheitsupdates für Cisco SMA stimmen im Advisory und der Cisco Bug ID CSCvp16724 überein.

Schwachstellen:

CVE-2020-3117

Schwachstelle in Cisco AsyncOS API Framework für Cisco WSA und Cisco SMA ermöglicht Darstellung falscher Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.