Vulnerabilidad en Cisco Email Security Appliance (ESA) y Cisco Secure Email and Web Manager (CVE-2022-20772)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-74
Neutralización incorrecta de elementos especiales en la salida utilizada por un componente interno (Inyección)
Fecha de publicación:
04/11/2022
Última modificación:
25/01/2024
Descripción
Una vulnerabilidad en Cisco Email Security Appliance (ESA) y Cisco Secure Email and Web Manager podría permitir que un atacante remoto no autenticado lleve a cabo un ataque de división de respuesta HTTP. Esta vulnerabilidad se debe a que la aplicación o su entorno no limpian adecuadamente los valores de entrada. Un atacante podría aprovechar esta vulnerabilidad inyectando encabezados HTTP maliciosos, controlando el cuerpo de la respuesta o dividiendo la respuesta en múltiples respuestas.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:h:cisco:email_security_appliance:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:email_security_appliance_firmware:*:*:*:*:*:*:*:* | 13.5.1 (incluyendo) | 14.0.3-015 (excluyendo) |
| cpe:2.3:o:cisco:email_security_appliance_firmware:*:*:*:*:*:*:*:* | 14.1 (incluyendo) | 14.2.1-015 (excluyendo) |
| cpe:2.3:o:cisco:email_security_appliance_firmware:*:*:*:*:*:*:*:* | 14.3 (incluyendo) | 14.3.0-023 (excluyendo) |
| cpe:2.3:h:cisco:secure_email_and_web_manager:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:secure_email_and_web_manager_firmware:*:*:*:*:*:*:*:* | 14.2 (incluyendo) | 14.2.0-217 (excluyendo) |
| cpe:2.3:o:cisco:secure_email_and_web_manager_firmware:*:*:*:*:*:*:*:* | 14.3 (incluyendo) | 14.3.0-115 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página