Уязвимость инъекции шаблона на стороне сервера в Cisco Secure Email Gateway

Критическая уязвимость в Cisco AsyncOS для Secure Email Gateway позволяет аутентифицированным удалённым злоумышленникам выполнять произвольные системные команды с правами root через искусственно созданные HTTP-запросы, нацеленные на веб-интерфейс управления. Уязвимость возникает из-за недостаточной валидации входных данных. Для эксплуатации требуется действительные учетные данные оператора. Cisco выпустила обновления программного обеспечения для устранения этой проблемы. Доступных обходных решений нет. Рекомендации доступны по предоставленной ссылке. Рейтинг воздействия на безопасность - Средний. Уязвимость получила идентификатор CVE-2024-20429.