Vulnerabilidad en la interfaz de testing habilitada en Cisco Email Security Appliance

Fecha de publicación:

23/09/2016

Importancia:

5 - Crítica

Recursos afectados:

Dispositivos físicos y virtuales Cisco ESA con las siguientes versiones de software:

9.1.2-023
9.1.2-028
9.1.2-036
9.7.2-046
9.7.2-047
9.7-2-054
10.0.0-124
10.0.0-125

Descripción:

Una vulnerabilidad permite a un atacante remoto no autenticado obtener el control total del dispositivo afectado.

Solución:

Por el momento, a la fecha de publicación de este aviso, no existe un parche para esta vulnerabilidad. Cuando esté disponible será actualizado en https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160922-esa

Detalle:

La vulnerabilidad afecta a Cisco IronPort AsyncOS para Cisco Email Security Appliances (ESA).

Es debido a la presencia de la interfaz de testing y debugging (pensado para su uso en fábrica). El atacante podría conectarse a este interfaz y obtener control completo del dispositivo, con privilegios de root.

Referencias:

Cisco Email Security Appliance Internal Testing Interface Vulnerability

Etiquetas:

Cisco

Vulnerabilidad

Accesos corporativos

Vulnerabilidad en la interfaz de testing habilitada en Cisco Email Security Appliance

Vulnerabilidad de desbordamiento de búfer en múltiples productos HP

Múltiples vulnerabilidades en Avalanche de Ivanti

Múltiples vulnerabilidades en productos de HPE

Vulnerabilidades XSS en el core de Drupal

Múltiples vulnerabilidades en TIBCO PartnerExpress