Cisco Email Security Appliance 內部測試介面 RCE
critical Nessus Plugin ID 93866
語系:
概要
遠端安全性裝置缺少供應商提供的安全性修補程式。說明
根據其自我報告的版本,遠端 Cisco Email Security (ESA) 應用裝置上執行的 Cisco AsyncOS 受到一個遠端程式碼執行弱點影響,這是因為出現了不應隨客戶版軟體版本出貨的內部測試及偵錯介面。未經驗證的遠端攻擊者可藉由連線至該介面來加以惡意利用,以便攻擊者用 root 層級的權限取得全面的掌控。解決方案
套用 Cisco 安全性公告 cisco-sa-20160922-esa 中所述的相關更新。或者,重新啟動 ESA 裝置,因為重新啟動可永久停用測試及偵錯介面。另請參閱
Plugin 詳細資訊
嚴重性: Critical
ID: 93866
檔案名稱: cisco-sa-20160922-esa.nasl
版本: 1.9
類型: combined
系列: CISCO
已發布: 2016/10/5
已更新: 2019/11/14
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: Critical
基本分數: 10
時間分數: 7.4
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS v3
風險因素: Critical
基本分數: 9.8
時間分數: 8.5
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/h:cisco:email_security_appliance, cpe:/o:cisco:email_security_appliance_firmware
必要的 KB 項目: Host/AsyncOS/Cisco Email Security Appliance/DisplayVersion, Host/AsyncOS/Cisco Email Security Appliance/Version
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2016/9/22
弱點發布日期: 2016/9/22
參考資訊
CVE: CVE-2016-6406
BID: 75181
CISCO-SA: cisco-sa-20160922-esa
CISCO-BUG-ID: CSCvb26017