2023-0382: Cisco Email Security Appliance (ESA), Cisco Secure Email and Web Manager, Cisco AsyncOS: Zwei Schwachstellen ermöglichen u. a. die Eskalation von Privilegien
Historie:
- Version 1 (2023-02-16 11:26)
- Neues Advisory
- Version 2 (2023-02-17 09:02)
- Cisco hat den Sicherheitshinweis hinsichtlich der Angabe fehlerbereinigter Releases aktualisiert; die Cisco Secure Email and Web Manager Software Version 14.2.1-020 wird nun nicht mehr aufgeführt und die Cisco ESA Software Version 14.3.0-032 sowie die Cisco Secure Email and Web Manager Software Version 14.3.0-120 sind für Cloud-basierte Produkte gekennzeichnet.
Betroffene Software
Systemsoftware
Betroffene Plattformen
Hardware
Cisco
Beschreibung:
Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um Privilegien zu eskalieren. Zudem kann ein Angreifer eine Schwachstelle lokal ausnutzen, um beliebigen Programmcode auszuführen.
Für die Ausnutzung beider Schwachstellen sind erweiterte Privilegien erforderlich.
Cisco informiert über die Schwachstellen in Cisco Email Security Appliance (ESA) und Cisco Secure Email and Web Manager und gibt an, dass die Cisco ESA Software Versionen 12.5.4-041, 13.0.5-007, 13.5.4-038, 14.2.1-020 und 14.3.0-032 sowie die Cisco Secure Email and Web Manager Software Versionen 12.8.1-021, 13.8.1-108, 14.2.0-224, 14.2.1-020 und 14.3.0-120 als Sicherheitsupdates eingespielt werden können, um die Schwachstellen zu beheben.
Schwachstellen:
CVE-2023-20009
Schwachstelle in Cisco Email Security Appliance (ESA) und Cisco Secure Email and Web Manager ermöglicht PrivilegieneskalationCVE-2023-20075
Schwachstelle in Cisco Email Security Appliance (ESA) ermöglicht Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.