Cisco Secure Email and Web Manager 多个漏洞 (cisco-sa-esa-sma-wsa-xss-bgG5whod)
high Nessus 插件 ID 197884
语言:
简介
远程设备缺少供应商提供的安全补丁。描述
根据自我报告的版本, Cisco Secure Email and Web Manager 受到多个漏洞影响。- Cisco Secure Email 的 Cisco AsyncOS 软件的 Web 式管理界面中存在漏洞允许经身份验证的远程攻击者针对界面用户执行 XSS 攻击。造成此漏洞的原因是对用户输入验证不充分。攻击者可通过诱骗受影响界面用户点击特制的链接以利用此漏洞。若成功利用此漏洞,攻击者即可在受影响界面的环境中执行任意脚本代码,或访问敏感的浏览器信息。(CVE-2024-20256)
- Cisco Secure Email 的 Cisco AsyncOS Software 的 Web 式管理界面中存在漏洞可允许未经身份验证的远程攻击者针对界面用户执行 XSS 攻击。造成此漏洞的原因是对用户输入验证不充分。攻击者可通过诱骗受影响界面用户点击特制的链接以利用此漏洞。若成功利用此漏洞,攻击者即可在受影响界面的环境中执行任意脚本代码,或访问敏感的浏览器信息。(CVE-2024-20258)
- Cisco Crosswork NSO CLI 和 ConfD CLI 中的一个漏洞可允许经身份验证的低权限本地攻击者在底层操作系统上将权限提升到根。该漏洞是由于使用特定 CLI 命令时权限分配不正确所致。攻击者可以通过执行受影响的 CLI 命令利用此漏洞。若成功利用可允许攻击者将权限提升至底层操作系统的 root 权限。
(CVE-2024-20383)
请参阅随附的 Cisco BID 和 Cisco 安全公告,了解更多信息。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级到 Cisco 缺陷 ID CSCwe88788、CSCwe91887、CSCwf84882、CSCwf93368、CSCwi59618、CSCwj12619 中提及的相关已修复版本另见
http://www.nessus.org/u?eaf46cc2
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwe88788
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwe91887
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwf84882
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwf93368
插件详情
严重性: High
ID: 197884
文件名: cisco-sa-esa-sma-wsa-xss-bgG5WHOD_wm.nasl
版本: 1.3
类型: combined
系列: CISCO
发布时间: 2024/5/24
最近更新时间: 2025/8/4
支持的传感器: Nessus
风险信息
VPR
风险因素: High
分数: 8.1
CVSS v2
风险因素: High
基本分数: 8.3
时间分数: 6.1
矢量: CVSS2#AV:N/AC:L/Au:M/C:C/I:C/A:C
CVSS 分数来源: CVE-2024-20383
CVSS v3
风险因素: High
基本分数: 8.4
时间分数: 7.3
矢量: CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/a:cisco:content_security_management_appliance, cpe:/h:cisco:content_security_management_appliance, x-cpe:/o:cisco:secure_email_and_web_manager
必需的 KB 项: Host/AsyncOS/Cisco Content Security Management Appliance/DisplayVersion, Host/AsyncOS/Cisco Content Security Management Appliance/Version
易利用性: No known exploits are available
补丁发布日期: 2024/5/15
漏洞发布日期: 2024/5/15
参考资料信息
CVE: CVE-2024-20256, CVE-2024-20258, CVE-2024-20383
CWE: 79
CISCO-SA: cisco-sa-esa-sma-wsa-xss-bgG5WHOD
IAVA: 2024-A-0294-S
CISCO-BUG-ID: CSCwe88788, CSCwe91887, CSCwf84882, CSCwf93368, CSCwi59618, CSCwj12619