2021-0959: Cisco Email Security Appliance (ESA), Cisco Content Security Management Appliance (SMA), Cisco Web Security Appliance (WSA), Cisco AsyncOS: Mehrere Schwachstellen ermöglichen u. a. einen Cross-Site-Scripting-Angriff

Historie:

Version 1 (2021-05-06 11:53)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Cisco

Beschreibung:

Ein Angreifer, der in einem Fall über niedrige Privilegien verfügen muss, kann zwei Schwachstellen aus der Ferne ausnutzen, um einen Cross-Site-Scripting (XSS)-Angriff durchzuführen und Informationen auszuspähen. Eine Schwachstelle erfordert die Interaktion eines Benutzers und kann Einfluss auf andere Komponenten haben. Ein Angreifer mit erweiterten Privilegien kann eine weitere Schwachstelle lokal ausnutzen, um Privilegien zu eskalieren.

Cisco informiert über die Schwachstellen und gibt an, dass die Cisco SMA Software, Cisco ESA Software und Cisco WSA Software jeweils in der Version 14.0 oder neuer als Sicherheitsupdates eingespielt werden können, um die Schwachstellen zu beheben. Die Schwachstelle CVE-2021-1447 in Cisco SMA Software wird bereits mit den Versionen 12.8.1-002 und 13.8.1-068 behoben.

Schwachstellen:

CVE-2021-1447

Schwachstelle in AsyncOS SMA ermöglicht Eskalation von Privilegien

CVE-2021-1490

Schwachstelle in AsyncOS WSA ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-1516

Schwachstelle in AsyncOS ESA, AsyncOS SMA, AsyncOS WSA ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.