根据自我报告的版本， Cisco Secure Email and Web Manager 受到多个漏洞影响。

  - Cisco Secure Email 的 Cisco AsyncOS 软件的 Web 式管理界面中存在漏洞允许经身份验证的远程攻击者针对界面用户执行 XSS 攻击。造成此漏洞的原因是对用户输入验证不充分。攻击者可通过诱骗受影响界面用户点击特制的链接以利用此漏洞。若成功利用此漏洞，攻击者即可在受影响界面的环境中执行任意脚本代码，或访问敏感的浏览器信息。(CVE-2024-20256)     
  - Cisco Secure Email 的 Cisco AsyncOS Software 的 Web 式管理界面中存在漏洞可允许未经身份验证的远程攻击者针对界面用户执行 XSS 攻击。造成此漏洞的原因是对用户输入验证不充分。攻击者可通过诱骗受影响界面用户点击特制的链接以利用此漏洞。若成功利用此漏洞，攻击者即可在受影响界面的环境中执行任意脚本代码，或访问敏感的浏览器信息。(CVE-2024-20258)

  - Cisco Crosswork NSO CLI 和 ConfD CLI 中的一个漏洞可允许经身份验证的低权限本地攻击者在底层操作系统上将权限提升到根。该漏洞是由于使用特定 CLI 命令时权限分配不正确所致。攻击者可以通过执行受影响的 CLI 命令利用此漏洞。若成功利用可允许攻击者将权限提升至底层操作系统的 root 权限。
    (CVE-2024-20383)

请参阅随附的 Cisco BID 和 Cisco 安全公告，了解更多信息。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

检测

Cisco Secure Email and Web Manager 多个漏洞 (cisco-sa-esa-sma-wsa-xss-bgG5whod)

high Nessus 插件 ID 197884

版本 1.3

版本 1.2

版本 1.1

版本 1.3 Aug 5, 2025, 4:04 AM CVSS metrics ("CVSSv2 score" set to 8.3) CVSS metrics ("CVSSv2 vector" set to "CVSS2#AV:N/AC:L/Au:M/C:C/I:C/A:C") CVSS metrics ("CVSSv3 score" set to 8.4) CVSS metrics ("CVSSv3 vector" set to "CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H") CVSSv2 score source (changed from "CVE-2024-20258" to "CVE-2024-20383") CVSSv2 severity (based on CVE-2024-20383, severity increased from "Medium" to "High") CVSSv3 severity (based on None, severity increased from "Medium" to "High") Plugin Feed: 202508050404
版本 1.2 Nov 8, 2024, 7:44 PM IAVM reference Plugin Feed: 202411081944
版本 1.1 May 24, 2024, 3:15 PM New Plugin Feed: 202405241515