シスコ セキュア イーメール ゲートウェイ HTTP 応答分割脆弱性

シスコのSecure Email Gateway用AsyncOSソフトウェアのWebベースの管理APIに、脆弱性が存在します。この脆弱性により、認証されていない遠隔の攻撃者がHTTPレスポンススプリッティング攻撃を実行する可能性があります。 この脆弱性は、影響を受けるシステムのWebベースの管理APIに渡される一部のパラメーターの入力検証が不十分なため発生します。攻撃者は、影響を受けるインターフェイスのユーザーを、作成されたリンクをクリックするよう説得することで、この脆弱性を悪用する可能性があります。攻撃が成功すると、攻撃者はクロスサイトスクリプティング（XSS）攻撃を実行でき、ターゲットユーザーのブラウザで任意のスクリプトコードを実行する可能性があります。また、攻撃者は、ブラウザベースの機密情報にアクセスする可能性もあります。 シスコは、この脆弱性を解決するソフトウェア更新をリリースしました。この脆弱性に対処するための回避策はありません。 このアドバイザリは、以下のリンクで利用可能です。https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-esa-http-split-GLrnnOwS セキュリティ影響評価レベル：中 CVE：CVE-2024-20392