Vulnerabilidades en múltiples productos Cisco 

Se ha reportado un nuevo aviso de seguridad sobre dos vulnerabilidades en aplicaciones de correo, web y chat de Cisco, que permitirían a un atacante realizar ataques de XSS y divulgar información confidencial. 

Se ha reportado un nuevo aviso de seguridad sobre dos vulnerabilidades en aplicaciones de correo, web y chat de Cisco, que permitirían a un atacante realizar ataque del tipo cross-site scripting (XSS) y divulgar información confidencial. 

Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Alta” y 1 (una) de severidad “Media”. Las mismas se detallan a continuación: 

  • CVE-2022-20664, de severidad “Alta” y puntuación asignada de 7.7. Esta vulnerabilidad se debe a la falta de saneamiento adecuado en la entrada al consultar el servidor de autenticación externo. Un atacante remoto podría enviar consultas especialmente diseñadas a través de una página web de autenticación externa y robar datos confidenciales del sistema afectado. 
  • CVE-2022-20802, de severidad “Media” y puntuación asignada de 5.4. Esta vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario que procesa la interfaz web. Esto permitiría a un atacante remoto para realizar ataques cross-site scripting (XSS), enviando una solicitud HTTP manipulada para el sistema afectado. 

Los productos afectados de Cisco son: 

  • Cisco Enterprise Chat and Email (ECE), 12.6(1) ES2 y versiones anteriores. 
  • Cisco Secure Email and Web Manager, versiones 11, 12, 12.8, 13.0, 13.6, 13.6.2-090, 13.8, 14.0, 14.1. 
  • Cisco Security Management Appliance (SMA).  
  • Cisco Email Security Appliance (ESA), versiones 11, 12, 13, 14. 

Recomendamos instalar las actualizaciones correspondientes provistas por Cisco en el siguiente enlace: 

Referencias: 

Compartir: