Vulnerabilidad en el componente de verificación de correo electrónico DANE (DNS-based Authentication of Named Entities) del software Cisco AsyncOS para Cisco Email Security Appliance (ESA) (CVE-2022-20653)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
17/02/2022
Última modificación:
07/11/2023
Descripción
Una vulnerabilidad en el componente de verificación de correo electrónico DANE (DNS-based Authentication of Named Entities) del software Cisco AsyncOS para Cisco Email Security Appliance (ESA) podría permitir a un atacante remoto no autenticado causar una condición de denegación de servicio (DoS) en un dispositivo afectado. Esta vulnerabilidad es debido a un manejo insuficiente de errores en la resolución de nombres DNS por parte del software afectado. Un atacante podría explotar esta vulnerabilidad mediante el envío de mensajes de correo electrónico con un formato especial que sean procesados por un dispositivo afectado. Una explotación con éxito podría permitir al atacante causar a el dispositivo volverse inalcanzable desde las interfaces de administración o procesar mensajes de correo electrónico adicionales durante un período de tiempo hasta que el dispositivo sea recuperado, resultando en una condición de DoS. Los ataques continuados podrían causar que el dispositivo quedara completamente inaccesible, resultando en una condición de DoS persistente
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
7.10
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:cisco:asyncos:*:*:*:*:*:*:*:* | 13.0.3 (excluyendo) | |
| cpe:2.3:o:cisco:asyncos:*:*:*:*:*:*:*:* | 13.5.0 (incluyendo) | 13.5.4.102 (excluyendo) |
| cpe:2.3:o:cisco:asyncos:*:*:*:*:*:*:*:* | 14.0 (incluyendo) | 14.0.2.020 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página