Vulnerabilidad en Cisco Email Security Appliance, Secure Email y Web Manager (CVE-2022-20867)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
04/11/2022
Última modificación:
25/01/2024
Descripción
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Email Security Appliance y Cisco Secure Email and Web Manager podría permitir que un atacante remoto autenticado realice ataques de inyección SQL como root en un sistema afectado. El atacante debe tener las credenciales de una cuenta de usuario con altos privilegios. Esta vulnerabilidad se debe a una validación incorrecta de los parámetros enviados por el usuario. Un atacante podría aprovechar esta vulnerabilidad autenticándose en la aplicación y enviando solicitudes maliciosas a un sistema afectado. Un exploit exitoso podría permitir al atacante obtener datos o modificar datos almacenados en la base de datos subyacente del sistema afectado.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:cisco:asyncos:*:*:*:*:*:*:*:* | 13.0 (incluyendo) | 14.2.1 (excluyendo) |
| cpe:2.3:h:cisco:secure_email_gateway:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:asyncos:*:*:*:*:*:*:*:* | 12.0 (incluyendo) | 14.2.0 (excluyendo) |
| cpe:2.3:h:cisco:secure_email_and_web_manager:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página