Уязвимость разделения ответа HTTP в шлюзе электронной почты Cisco Secure Email Gateway

Уязвимость в веб-интерфейсе API управления программного обеспечения AsyncOS для шлюза безопасной электронной почты Cisco может позволить неавторизованному удаленному злоумышленнику провести атаку на разделение HTTP-ответов. Эта уязвимость возникает из-за недостаточной валидации ввода некоторых параметров, передаваемых в веб-интерфейс API затронутой системы. Злоумышленник может воспользоваться этой уязвимостью, убедив пользователя затронутого интерфейса кликнуть на специально созданную ссылку. Успешная эксплуатация может позволить злоумышленнику провести кросс-сайтинговые атаки (XSS), что приведет к выполнению произвольного кода скрипта в браузере целевого пользователя, или даст доступ к чувствительной информации, хранящейся в браузере. Cisco выпустила обновления программного обеспечения, которые устраняют эту уязвимость. Нет обходных способов, которые устраняют эту уязвимость. Это уведомление доступно по следующей ссылке: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-esa-http-split-GLrnnOwS Оценка степени риска безопасности: Средняя CVE: CVE-2024-20392