Cisco, Çarşamba günü, E-posta Güvenlik Aracını (ESA) ve Güvenli E-posta ve Web Yöneticisini etkileyen ve kimliği doğrulanmamış, uzak bir saldırgan tarafından kimlik doğrulamasını yan yana kullanmak için kullanılabilecek kritik bir güvenlik açığını gidermek için düzeltmeler yayınladı.
CVE tanımlayıcısı atandı CVE-2022-20798atlama güvenlik açığı CVSS puanlama sisteminde maksimum 10 üzerinden 9,8 olarak derecelendirilir ve etkilenen bir cihaz Hafif Dizin Erişim Protokolü kullandığında uygunsuz kimlik doğrulama kontrollerinden kaynaklanır (LDAP) harici kimlik doğrulama için.
Cisco bir danışma belgesinde, “Bir saldırgan, etkilenen cihazın oturum açma sayfasına belirli bir girdi girerek bu güvenlik açığından yararlanabilir” dedi. “Başarılı bir açıktan yararlanma, saldırganın etkilenen cihazın web tabanlı yönetim arayüzüne yetkisiz erişim sağlamasına izin verebilir.”
Bir teknik yardım merkezi (TAC) vakasının çözümü sırasında tespit edildiğini söylediği kusur, ESA ve Güvenli E-posta ve Web Yöneticisi’ni, savunmasız AsyncOS yazılım sürümlerini çalıştıran 11 ve önceki, 12, 12.x, 13, 13.x, 14 ve 14.x ve aşağıdaki iki koşul karşılandığında –
- Cihazlar, harici kimlik doğrulamayı kullanacak şekilde yapılandırılmıştır ve
- Cihazlar, kimlik doğrulama protokolü olarak LDAP kullanır
Ayrıca Cisco, Small Business RV110W, RV130, RV130W ve RV215W yönlendiricilerini etkileyen ve kimliği doğrulanmamış, uzak bir saldırganın rastgele kod yürütmesine veya etkilenen bir cihazın beklenmedik bir şekilde yeniden başlatılmasına neden olarak hizmet reddine neden olabilecek başka bir kritik kusur hakkında müşterilere bilgi verdi. (DoS) durumu.
olarak izlenen hata CVE-2022-20825 (CVSS puanı: 9.8), gelen HTTP paketlerinin yetersiz kullanıcı girişi doğrulaması durumuyla ilgilidir. Ancak Cisco, ürünlerin kullanım ömrünün sonuna ulaştığı için ne yazılım güncellemeleri ne de kusuru çözmek için geçici çözümler yayınlamayı planlamadığını söyledi.