Cisco es una empresa líder en el campo de las tecnologías de la información y las comunicaciones, proporcionando productos, servicios y soluciones para redes y comunicaciones a nivel global.
Recientemente se detectaron múltiples vulnerabilidades en la interfaz de administración basada en web del software Cisco AsyncOS para Cisco Secure Email y Web Manager, Cisco Secure Email Gateway y Cisco Secure Web Appliance, las que podrían permitir que un atacante remoto realice un ataque de secuencias de comandos entre sitios (XSS) contra un usuario de la interfaz.
Un atacante podría explotar estas vulnerabilidades al persuadir a un usuario de una interfaz afectada para que haga click en un enlace manipulado. Una explotación exitosa podría permitir que el atacante ejecute un código de secuencia de comandos arbitrario en el contexto de la interfaz afectada o acceda a información confidencial basada en el navegador.
Los detalles sobre las vulnerabilidades son los siguientes:
- CVE-2023-20119: Vulnerabilidad XSS reflejada en Cisco Secure Email y Web Manager con severidad MEDIA y un puntaje base CVSS de 6.1.
- CVE-2023-20120: Cisco Secure Email y Web Manager, Cisco Secure Email Gateway y Cisco Secure Web Appliance Stored XSS Vulnerability con severidad MEDIA y un puntaje base CVSS de 5.4.
- CVE-2023-20028: Cisco Secure Email and Web Manager y Cisco Secure Web Appliance Stored XSS Vulnerability con severidad MEDIA y un puntaje base CVSS de 4.8.
Productos Afectados.
- Secure Email y Web Manager.
- Secure Email Gateway.
- Dispositivo web seguro.
La vulnerabilidad afecta a los usuarios que hacen uso de los productos en Físico y Virtual.
Solución.
Cisco ha lanzado actualizaciones de software que abordan estas vulnerabilidades.
- Secure Email y Web Manager.
| Lanzamiento de Cisco AsyncOS | Primera versión fija para CVE-2023-20028, CVE-2023-20119 y CVE-2023-20120 |
| 14.3 y anteriores | Migrar a una versión fija. |
| 15.0 | 15.0.0 1 (julio de 2023) |
- Secure Email Gateway.
| Lanzamiento de Cisco AsyncOS | Primera versión fija para CVE-2023-20120 |
| 14.3 y anteriores | Migrar a una versión fija. |
| 15.0 | 15.0.0 1 (julio de 2023) |
- Secure Web Appliance.
| Lanzamiento de Cisco AsyncOS | Primera versión fija para CVE-2023-20028 y CVE-2023-20120 |
| 14.5 y anteriores | Migrar a una versión fija. |
| 15.0 | 15.0.0-332 |
Las versiones fijas en Cisco se refieren a las versiones de software estables y confiables que ofrecen un conjunto de características sin cambios significativos, lo que brinda estabilidad y consistencia a la infraestructura de red.
Recomendación.
Se recomienda a los usuarios que consulten regularmente los avisos de los productos de Cisco, que están disponibles en la página de Avisos de seguridad de Cisco, para determinar la exposición y una solución de actualización completa.
Referencias.
- https://www.redpacketsecurity.com/cisco-secure-email-and-web-manager-cisco-secure-email-gateway-and-cisco-secure-web-appliance-cross-site-scripting-cve-2023-20120-7/
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-esa-sma-wsa-xss-cP9DuEmq
- https://vulmon.com/searchpage?q=CVE-2023-20119
Página de Avisos de seguridad de Cisco.