सिस्को अपने सिस्को ईमेल सुरक्षा उपकरण, सिस्को सिक्योर ईमेल और वेब मैनेजर, और सिस्को सिक्योर वेब एप्लायंस नेक्स्ट जेनरेशन मैनेजमेंट उत्पादों में सुरक्षा कमजोरियों की रिपोर्ट कर रहा है। हमलावर SQL इंजेक्शन हमला कर सकते हैं या रूट विशेषाधिकार प्राप्त कर सकते हैं। अपडेट तैयार हैं।
सिस्को ईमेल सुरक्षा उपकरण (ईएसए), सिस्को सिक्योर ईमेल और वेब प्रबंधक, और सिस्को सिक्योर वेब उपकरण, जिसे पहले सिस्को वेब सुरक्षा उपकरण (डब्ल्यूएसए) के रूप में जाना जाता था, के लिए अगली पीढ़ी के यूआई प्रबंधन इंटरफ़ेस में कई भेद्यताएं हमलावर को अनुमति प्राप्त करने की अनुमति दे सकती हैं। उन्नत करें या SQL इंजेक्शन हमला करें और रूट विशेषाधिकार प्राप्त करें।
सिस्को से सुरक्षा भेद्यता अद्यतन
- CVE-2022-20868 सिस्को ईएसए और सिस्को सिक्योर ईमेल और वेब मैनेजर को प्रभावित करता है।
- CVE-2022-20867 सिस्को ईएसए, सिस्को सिक्योर ईमेल और वेब मैनेजर और सिस्को सिक्योर वेब एप्लायंसेज को प्रभावित करता है।
सिस्को ने सॉफ्टवेयर अपडेट जारी किए हैं जो इन कमजोरियों को दूर करते हैं। इन कमजोरियों को दूर करने के लिए कोई उपाय नहीं हैं।
CVE-2022-20867
सिस्को ईएसए और सिस्को सिक्योर ईमेल और वेब मैनेजर नेक्स्ट जेनरेशन मैनेजमेंट एसक्यूएल इंजेक्शन भेद्यता
अगली पीढ़ी के सिस्को ईएसए और सिस्को सिक्योर ईमेल और वेब मैनेजर यूआई प्रबंधन इंटरफ़ेस में भेद्यता एक प्रमाणित, दूरस्थ हमलावर को SQL इंजेक्शन हमलों को लॉन्च करने की अनुमति दे सकती है। जड़ एक प्रभावित प्रणाली पर किया जाना है। इस भेद्यता का फायदा उठाने के लिए, एक हमलावर को अत्यधिक विशेषाधिकार प्राप्त उपयोगकर्ता खाते की साख की आवश्यकता होगी।
यह भेद्यता उपयोगकर्ता द्वारा सबमिट किए गए मापदंडों के अनुचित सत्यापन के कारण है। एक हमलावर एप्लिकेशन के खिलाफ प्रमाणित करके और प्रभावित सिस्टम को दुर्भावनापूर्ण अनुरोध भेजकर इस भेद्यता का फायदा उठा सकता है। एक सफल शोषण हमलावर को प्रभावित सिस्टम के अंतर्निहित डेटाबेस में संग्रहीत डेटा को प्राप्त करने या संशोधित करने की अनुमति दे सकता है।
सुरक्षा प्रभाव रेटिंग (एसआईआर): उच्च, सीवीएसएस बेसलाइन: 4,7
CVE-2022-20868
सिस्को ईएसए, सिस्को सिक्योर ईमेल और वेब मैनेजर, और सिस्को सिक्योर वेब एप्लायंस नेक्स्ट जनरेशन मैनेजमेंट प्रिविलेज एस्केलेशन भेद्यता
सिस्को ईएसए, सिस्को सिक्योर ईमेल और वेब मैनेजर, और सिस्को सिक्योर वेब एप्लायंस के अगली पीढ़ी के यूआई प्रबंधन इंटरफ़ेस में भेद्यता एक प्रमाणित दूरस्थ हमलावर को प्रभावित सिस्टम पर विशेषाधिकार बढ़ाने की अनुमति दे सकती है।
यह भेद्यता कुछ एपीआई कॉल के लिए उपयोग किए जाने वाले टोकन को एन्क्रिप्ट करने के लिए हार्ड-कोडेड मान के उपयोग के कारण है। एक हमलावर प्रभावित डिवाइस को प्रमाणित करके और एक तैयार HTTP अनुरोध भेजकर इस भेद्यता का फायदा उठा सकता है। एक सफल शोषण हमलावर को किसी अन्य वैध उपयोगकर्ता का प्रतिरूपण करने और उस उपयोगकर्ता खाते के विशेषाधिकारों के साथ आदेश चलाने की अनुमति दे सकता है।
सुरक्षा प्रभाव रेटिंग (एसआईआर): मध्यम, सीवीएसएस बेसलाइन: 5,4
Cisco.com पर अधिक
सिस्को के बारे में
सिस्को दुनिया की अग्रणी प्रौद्योगिकी कंपनी है जो इंटरनेट को संभव बनाती है। सिस्को वैश्विक और समावेशी भविष्य के लिए अनुप्रयोगों, डेटा सुरक्षा, बुनियादी ढांचे के परिवर्तन और टीमों के सशक्तिकरण के लिए नई संभावनाएं खोल रहा है।