Vulnérabilité d'injection de modèle côté serveur dans le serveur de passerelle de messagerie sécurisée de Cisco

Une vulnérabilité critique dans Cisco AsyncOS pour la passerelle de messagerie électronique sécurisée permet à des attaquants distants authentifiés d'exécuter des commandes système arbitraires avec des privilèges root via des requêtes HTTP élaborées ciblant l'interface de gestion web. La vulnérabilité découle d'une validation d'entrée insuffisante. L'exploitation nécessite des informations d'identification d'opérateur valides. Cisco a publié des mises à jour logicielles pour résoudre ce problème. Il n'y a pas de solutions de contournement disponibles. L'avis est disponible au lien fourni. La note d'impact de sécurité est Medium. La vulnérabilité est assignée CVE-2024-20429.