Vulnerabilidad en los mecanismos de análisis en la funcionalidad email message scanning de Cisco AsyncOS Software para Cisco Email Security Appliance (ESA) (CVE-2020-3132)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-400
Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
19/02/2020
Última modificación:
27/02/2020
Descripción
Una vulnerabilidad en la funcionalidad email message scanning de Cisco AsyncOS Software para Cisco Email Security Appliance (ESA), podría permitir a un atacante remoto no autenticado causar una condición de denegación de servicio (DoS) temporal en un dispositivo afectado. La vulnerabilidad es debido a mecanismos de análisis inadecuados para componentes específicos del cuerpo del correo electrónico. Un atacante podría explotar esta vulnerabilidad mediante el envío de un correo electrónico malicioso que contenga una gran cantidad de URL acortadas por medio de un dispositivo afectado. Una explotación con éxito podría permitir al atacante consumir recursos de procesamiento, causando una condición de DoS sobre un dispositivo afectado. Para explotar con éxito esta vulnerabilidad, deben ocurrir determinadas condiciones más allá del control del atacante.
Impacto
Puntuación base 3.x
5.90
Gravedad 3.x
MEDIA
Puntuación base 2.0
7.10
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:cloud_email_security:*:*:*:*:*:*:*:* | 12.5.1-037 (excluyendo) | |
| cpe:2.3:a:cisco:email_security_appliance:*:*:*:*:*:*:*:* | 12.5.1-037 (excluyendo) | |
| cpe:2.3:a:cisco:cloud_email_security:*:*:*:*:*:*:*:* | 13.0.0-375 (excluyendo) | |
| cpe:2.3:a:cisco:email_security_appliance:*:*:*:*:*:*:*:* | 13.0.0-375 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página