Vulnerabilidad en Cisco AsyncOS Software para Cisco Email Security Appliances (CVE-2017-12353)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-254
Características de seguridad
Fecha de publicación:
30/11/2017
Última modificación:
20/04/2025
Descripción
Una vulnerabilidad en el escáner Multipurpose Internet Mail Extensions (MIME) de Cisco AsyncOS Software para Cisco Email Security Appliances (ESA) podría permitir que un atacante remoto no autenticado omita los filtros de usuario configurados en el dispositivo. La vulnerabilidad se debe a la gestión incorrecta de errores de una cabecera MIME en un archivo adjunto de correo electrónico. Un atacante podría explotar esta vulnerabilidad mediante el envío de un correo electrónico con un archivo adjunto MIME manipulado. Por ejemplo, un exploit exitoso podría permitir que el atacante omita los filtros de usuario configurados para enviar el correo electrónico. Las cabeceras MIME podrían no ser compatibles con RFC. Sin embargo, algunos clientes de correo electrónico podrían seguir permitiendo que los usuarios accedan al archivo adjunto, que tal vez no haya sido correctamente filtrado por el dispositivo. Cisco Bug IDs: CSCvf44666.
Impacto
Puntuación base 3.x
5.80
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:cisco:asyncos:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.securityfocus.com/bid/102002
- http://www.securitytracker.com/id/1039917
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171129-esa
- http://www.securityfocus.com/bid/102002
- http://www.securitytracker.com/id/1039917
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171129-esa