2023-1435: Cisco Secure Email Gateway, Cisco Secure Email and Web Manager, Cisco Secure Web Appliance: Mehrere Schwachstellen ermöglichen einen Cross-Site-Scripting-Angriff
Historie:
- Version 1 (2023-06-22 14:52)
- Neues Advisory
- Version 2 (2023-06-28 09:50)
- Der Hersteller hat seine Information zu fehlerbereinigten Versionen von Secure Email Gateway und Secure Email and Web Manager aktualisiert und gibt an, dass derzeit nur Limited Deployment (LD) Releases auf Anfrage beim Cisco TAC verfügbar sind, während General Deployment (GD) Releases nach weiteren Untersuchungen für Juli 2023 angekündigt werden.
- Version 3 (2023-07-13 09:08)
- Der Hersteller hat seine Information zu fehlerbereinigten Versionen um einen Hinweis zu Cisco Secure Email Cloud Gateway ergänzt. Für Kunden, welche dieses nutzen, ist keine Aktion erforderlich, da Cisco bereits Abwehrmaßnahmen für die Infrastruktur ergriffen hat und fehlerbereinigte Versionen als Teil des Standard-Upgrade-Prozesses installieren wird.
Betroffene Software
Systemsoftware
Betroffene Plattformen
Hardware
Cisco
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um verschiedene Cross-Site-Scripting (XSS)-Angriffe durchzuführen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Alle Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung aller Schwachstellen kann Einfluss auf andere Komponenten haben.
Cisco informiert über die Schwachstellen in Cisco AsyncOS Software für Cisco Secure Email and Web Manager (SMA), Cisco Secure Email Gateway (ESA) sowie Cisco Secure Web Appliance (WSA) und gibt an, dass die Cisco SMA Software Version 15.0.0-317 (CVE-2023-20028, CVE-2023-20119, CVE-2023-20120), die Cisco ESA Software Version 15.0.0-068 (CVE-2023-20120) und die Cisco WSA Software Version 15.0.0-332 (CVE-2023-20028, CVE-2023-20120) als Sicherheitsupdates eingespielt werden können, um die jeweiligen Schwachstellen zu beheben.
Schwachstellen:
CVE-2023-20028
Schwachstelle in Cisco Secure Email and Web Manager, Cisco Secure Web Appliance ermöglicht Cross-Site-Scripting-AngriffCVE-2023-20119
Schwachstelle in Cisco Secure Email and Web Manager, Cisco Secure Web Appliance ermöglicht Cross-Site-Scripting-AngriffCVE-2023-20120
Schwachstelle in Cisco Secure Email and Web Manager, Cisco Secure Email Gateway, Cisco Secure Web Appliance ermöglicht Cross-Site-Scripting-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.