Cisco ürünleri müşterileri, e-posta ve web güvenlik cihazlarındaki kritik, yüksek önemdeki kusur konusunda uyarıldı
Etkilenen Ürün: Cisco Kurumsal Sohbet ve E-posta
CVE-2022-20802
Kritiklik: Orta
Depolanan Siteler Arası Komut Dosyası Güvenlik Açığı
Tanım:
Cisco Kurumsal Sohbet ve E-posta’nın (ECE) web arayüzündeki bir güvenlik açığı, uzak bir tehdit aktörünün arayüzün bir kullanıcısına karşı siteler arası komut dosyası çalıştırma (XSS) saldırısı gerçekleştirmesine izin verebilir.
Bu güvenlik açığı, web arabirimi tarafından işlenen, kullanıcı tarafından sağlanan girdinin yetersiz doğrulanmasından kaynaklanmaktadır. Saldırgan, etkilenen sisteme hazırlanmış bir HTTP isteği göndererek bu güvenlik açığından yararlanabilir.
Sonuç:
Başarılı bir istismar, tehdit aktörünün yazılımda rastgele kod yürütmesine veya tarayıcıdan özel verileri çalmasına izin verebilir. Bir saldırganın bu güvenlik açığından başarıyla yararlanabilmesi için geçerli ajan kimlik bilgileri.
Azaltma:
Cisco, bu güvenlik açığını gideren yazılım güncellemeleri yayımladı.
Etkilenen Ürün: Cisco Email Security Appliance ve Cisco Secure Email and Web Manager
CVE-2022-20664
Kritiklik: Yüksek
Bilgi İfşası Güvenlik Açığı
Tanım:
Cisco Secure Email and Web Manager (eski adıyla Cisco Security Management Appliance (SMA) ve Cisco Email Security Appliance (ESA)), web yönetim arayüzündeki bir güvenlik açığı, uzak tehdit aktörlerinin, etkilenen bir cihaza bağlı harici kimlik doğrulama sunucularından gizli LDAP verilerini çalmasına izin verir. .
Bu güvenlik açığı, harici kimlik doğrulama sunucusunu sorgularken uygun giriş temizleme eksikliğinden kaynaklanmaktadır. Bir tehdit aktörü, harici bir kimlik doğrulama web sayfası aracılığıyla hazırlanmış bir sorgu göndererek bu güvenlik açığından yararlanabilir.
Sonuç:
Başarılı bir istismar, saldırganın kullanıcı kimlik bilgileri de dahil olmak üzere hassas bilgileri çalmasına izin verebilir. Saldırganın bu güvenlik açığından başarıyla yararlanabilmesi için geçerli kimlik bilgilerine ihtiyacı vardır.
Azaltma:
Cisco, bu güvenlik açığını gideren yazılım güncellemeleri yayımladı.
Siber güvenlik ve kötü amaçlı yazılım araştırmacısıdır. Bilgisayar Bilimi okudu ve 2006 yılında siber güvenlik analisti olarak çalışmaya başladı. Aktif olarak siber güvenlik araştırmacısı olarak çalışıyor. Ayrıca farklı güvenlik şirketlerinde çalıştı. Günlük işi, yeni siber güvenlik olayları hakkında araştırma yapmayı içerir. Ayrıca kurumsal güvenlik uygulaması konusunda derin bir bilgi düzeyine sahiptir.