Vulnérabilité de division de réponse HTTP de la passerelle de messagerie électronique sécurisée de Cisco

Une vulnérabilité dans l'API de gestion web d'AsyncOS Software pour Cisco Secure Email Gateway pourrait permettre à un attaquant non authentifié et distant d'effectuer une attaque de division de réponses HTTP. Cette vulnérabilité est due à une validation d'entrée insuffisante de certains paramètres qui sont transmis à l'API de gestion web du système affecté. Un attaquant pourrait exploiter cette vulnérabilité en persuadant un utilisateur d'une interface affectée de cliquer sur un lien élaboré. Un exploit réussi pourrait permettre à l'attaque de mener des attaques XSS, entraînant l'exécution de code de script arbitraire dans le navigateur de l'utilisateur ciblé, ou pourrait permettre à l'attaque d'accéder à des informations sensibles et basées sur le navigateur. Cisco a publié des mises à jour logicielles qui corrigent cette vulnérabilité. Il n'y a pas de solutions de contournement qui traitent de cette vulnérabilité. Ce conseil de sécurité est disponible au lien suivant : https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-esa-http-split-GLrnnOwS Évaluation de l'impact de sécurité : Moyen CVE : CVE-2024-20392