Cisco Web/Mail Security Appliance 至 7.7/8.1 Web Framework URL 代码注入漏洞

CVE编号

CVE-2013-3384

利用情况

暂无

补丁情况

N/A

披露时间

2013-06-28
漏洞描述
IronPort系列产品是广泛使用的邮件加密网关,AsyncOS是该产品所使用的操作系统,专门用于处理并发通讯的瓶颈以及基于文件的邮件队列的限制。Cisco Content Security Management Appliance是一款内容安全管理应用设备。Cisco Web Security Appliance是一个思科公司推出的安全WEB网关。Cisco Email Security Appliance是一个思科公司推出的EMAIL安全网关。

多个产品使用的WEB架构代码存在安全漏洞,允许通过验证的远程攻击者以高权限执行任意系统命令。
漏洞是由于未能正确过滤用户提交的特殊的URL,在传递给设备上的命令行接口进行解析时,可导致以运行程序上下文执行任意命令。也可以诱使合法用户点击特制的URL来利用此漏洞,成功利用漏洞可以完全控制受影响设备。
运行了存在此漏洞的Cisco IronPort AsyncOS软件的Cisco Content Security Management Appliance,Cisco Email Security Appliance和Cisco Web Security Appliance所有型号受此漏洞影响。
解决建议
用户可参考如下厂商提供的安全公告获得补丁信息:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130626-sma
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130626-wsa
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130626-esa
参考链接
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa...
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa...
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa...
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
系统 cisco email_security_appliance_firmware - -
运行在以下环境
系统 cisco ironport_asyncos * Up to
(including)
7.1.3
运行在以下环境
系统 cisco ironport_asyncos 7.2 -
运行在以下环境
系统 cisco ironport_asyncos 7.3 -
运行在以下环境
系统 cisco ironport_asyncos 7.5 -
运行在以下环境
系统 cisco ironport_asyncos 7.6 -
运行在以下环境
系统 cisco ironport_asyncos 7.7 -
运行在以下环境
系统 cisco ironport_asyncos 7.8 -
运行在以下环境
系统 cisco ironport_asyncos 7.9 -
运行在以下环境
硬件 cisco content_security_management - -
运行在以下环境
硬件 cisco web_security_appliance - -
CVSS3评分
9.0
  • 攻击路径
    网络
  • 攻击复杂度
  • 权限要求
    一次
  • 影响范围
    N/A
  • 用户交互
  • 可用性
    完全地
  • 保密性
    完全地
  • 完整性
    完全地
AV:N/AC:L/Au:S/C:C/I:C/A:C
CWE-ID 漏洞类型
CWE-94 对生成代码的控制不恰当(代码注入)
阿里云安全产品覆盖情况