Cisco Content Security Management Appliance和Cisco Web Security Appliance信息泄露漏洞

CVE编号

CVE-2020-3547

利用情况

暂无

补丁情况

N/A

披露时间

2020-09-04
漏洞描述
Cisco Content Security Management Appliance是一套内容安全管理设备。Cisco Email Security Appliance(ESA)是一个电子邮件安全设备。Cisco Web Security Appliance(WSA)是一款Web安全设备。<br />
Cisco Email Security Appliance(ESA)、Cisco Content Security management Appliance(SMA)和Cisco web Security Appliance(WSA)的Cisco AsyncOS软件基于web的管理接口中存在漏洞,允许经过身份验证的远程攻击者访问受影响设备上的敏感信息。该漏洞的存在是因为在基于web的管理界面上使用了不安全的方法来屏蔽某些密码。攻击者可以通过查看从接口接收到的原始HTML代码来利用此漏洞进行攻击。成功利用此漏洞可使攻击者获得在整个接口中配置的一些密码。

解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-s...
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
系统 cisco asyncos * Up to
(including)
11.7.2-011
运行在以下环境
系统 cisco asyncos * Up to
(including)
13.5.1-277
运行在以下环境
系统 cisco asyncos * Up to
(including)
13.6.1-193
运行在以下环境
系统 fedora_33 mediawiki * Up to
(excluding)
1.35.1-1.fc33
运行在以下环境
系统 opensuse_Leap_15.3 envoy-proxy * Up to
(excluding)
1.14.6-bp153.3.4.1
运行在以下环境
硬件 cisco content_security_management_appliance - -
运行在以下环境
硬件 cisco email_security_appliance - -
运行在以下环境
硬件 cisco web_security_appliance - -
CVSS3评分
6.5
  • 攻击路径
    网络
  • 攻击复杂度
  • 权限要求
  • 影响范围
    未更改
  • 用户交互
  • 可用性
  • 保密性
  • 完整性
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
CWE-ID 漏洞类型
CWE-522 不充分的凭证保护机制
阿里云安全产品覆盖情况