2025-3542: Cisco Secure Email Gateway, Cisco Secure Email and Web Manager: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes mit Administratorrechten

Historie:

Version 1 (2025-12-18 12:31)

Neues Advisory

Version 2 (2026-01-16 10:29)

Cisco hat seinen Sicherheitshinweis aktualisiert. Von der Schwachstelle betroffen sind Cisco Email Security Gateway mit AsyncOS (ESA) in den Versionen 14.2 und früher, 15.0, 15.5 und 16.0 sowie Secure Email and Web Manager mit AsyncOS (SMA) in den Versionen 15.0 und früher, 15.5 und 16.0. Als Sicherheitsupdates stehen für AsyncOS (ESA) die Versionen 15.0.5-016, 15.5.4-012 und 16.0.4-016 und für AsyncOS (SMA) die Versionen 15.0.2-007, 15.5.4-007 und 16.0.4-010 bereit, um die Schwachstelle zu beheben.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Cisco

Beschreibung:

Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um beliebigen Programmcode mit den Rechten des Administrators auszuführen.

Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich. Die erfolgreiche Ausnutzung der Schwachstelle kann Einfluss auf andere Komponenten haben.

Der Hersteller informiert über die Schwachstelle in Cisco Secure Email Gateway und Cisco Secure Email and Web Manager und kündigt weitere Details an. Ein Sicherheitsupdate oder Workaround steht bisher nicht zur Verfügung, der Hersteller gibt aber Empfehlungen zur Härtung der Systeme.

Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) hat die Schwachstelle in ihren 'Known Exploited Vulnerabilities Catalog' aufgenommen.

Schwachstellen:

CVE-2025-20393

Schwachstelle in Cisco Secure Email and Web Manager und Cisco Secure Email Gateway ermöglicht Ausführen beliebigen Programmcodes mit Administratorrechten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.