Cisco a déployé mercredi des correctifs pour corriger une faille de sécurité critique affectant Email Security Appliance (ESA) et Secure Email and Web Manager qui pourrait être exploitée par un attaquant distant non authentifié pour contourner l’authentification. Attribuée à l’identifiant CVE CVE-2022-20798, la vulnérabilité de contournement est notée 9,8 sur un maximum de 10 sur le système de notation CVSS et découle de vérifications d’authentification incorrectes lorsqu’un appareil affecté utilise le protocole LDAP (Lightweight Directory Access Protocol) pour l’authentification externe. « Un attaquant pourrait exploiter cette vulnérabilité en saisissant une entrée spécifique sur la page de connexion de l’appareil concerné », a noté Cisco dans un avis. « Un exploit réussi pourrait permettre à l’attaquant d’obtenir un accès non autorisé à l’interface de gestion Web de l’appareil concerné. » La faille, qui, selon elle, a été identifiée lors de la résolution d’un cas de centre d’assistance technique (TAC), affecte ESA et Secure Email and Web Manager exécutant les versions vulnérables du logiciel AsyncOS 11 et antérieures, 12, 12.x, 13, 13.x, 14 et 14.x et lorsque les deux conditions suivantes sont remplies

– Les appareils sont configurés pour utiliser l’authentification externe, et

Les appareils utilisent LDAP comme protocole d’authentification

Par ailleurs, Cisco a également informé les clients d’une autre faille critique affectant ses routeurs Small Business RV110W, RV130, RV130W et RV215W qui pourrait permettre à un adversaire distant non authentifié d’exécuter du code arbitraire ou de provoquer le redémarrage inattendu d’un appareil affecté, entraînant un déni de service. (DoS). Le bogue, suivi en tant que CVE-2022-20825 (score CVSS : 9,8), concerne un cas de validation insuffisante des entrées utilisateur des paquets HTTP entrants. Cependant, Cisco a déclaré qu’il ne prévoyait pas de publier des mises à jour logicielles ni des solutions de contournement pour résoudre la faille, car les produits ont atteint la fin de leur vie.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *