Se ha reportado un nuevo aviso de seguridad sobre dos vulnerabilidades en aplicaciones de correo, web y chat de Cisco, que permitirían a un atacante realizar ataques de XSS y divulgar información confidencial.
Se ha reportado un nuevo aviso de seguridad sobre dos vulnerabilidades en aplicaciones de correo, web y chat de Cisco, que permitirían a un atacante realizar ataque del tipo cross-site scripting (XSS) y divulgar información confidencial.
Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Alta” y 1 (una) de severidad “Media”. Las mismas se detallan a continuación:
- CVE-2022-20664, de severidad “Alta” y puntuación asignada de 7.7. Esta vulnerabilidad se debe a la falta de saneamiento adecuado en la entrada al consultar el servidor de autenticación externo. Un atacante remoto podría enviar consultas especialmente diseñadas a través de una página web de autenticación externa y robar datos confidenciales del sistema afectado.
- CVE-2022-20802, de severidad “Media” y puntuación asignada de 5.4. Esta vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario que procesa la interfaz web. Esto permitiría a un atacante remoto para realizar ataques cross-site scripting (XSS), enviando una solicitud HTTP manipulada para el sistema afectado.
Los productos afectados de Cisco son:
- Cisco Enterprise Chat and Email (ECE), 12.6(1) ES2 y versiones anteriores.
- Cisco Secure Email and Web Manager, versiones 11, 12, 12.8, 13.0, 13.6, 13.6.2-090, 13.8, 14.0, 14.1.
- Cisco Security Management Appliance (SMA).
- Cisco Email Security Appliance (ESA), versiones 11, 12, 13, 14.
Recomendamos instalar las actualizaciones correspondientes provistas por Cisco en el siguiente enlace:
Referencias: