Une faille critique dans Cisco Secure Email and Web Manager permet aux attaquants de contourner l’authentification

Cisco a déployé mercredi des correctifs pour remédier à une faille de sécurité critique affectant Email Security Appliance et Secure Email and Web Manager, qui pourrait être exploitée par un attaquant distant non authentifié pour contourner l’authentification.

Attribuée à l’identifiant CVE CVE-2022-20798, la vulnérabilité de contournement est notée 9,8 sur un maximum de 10 dans le système de notation CVSS et découle de vérifications d’authentification incorrectes lorsqu’un appareil affecté utilise le protocole Lightweight Directory Access Protocol pour l’authentification externe.

« Un attaquant pourrait exploiter cette vulnérabilité en entrant une donnée spécifique sur la page de connexion de l’appareil concerné », a indiqué Cisco dans un avis.

« Une exploitation réussie pourrait permettre à l’attaquant d’obtenir un accès non autorisé à l’interface de gestion basée sur le web de l’appareil concerné. »

La faille, qui a été identifiée lors de la résolution d’un cas dans un centre d’assistance technique, affecte ESA et Secure Email and Web Manager qui utilisent les versions 11 et antérieures du logiciel AsyncOS, 12, 12.x, 13, 13.x, 14, et 14.x et lorsque les deux conditions suivantes sont remplies : -.

Séparément, Cisco a également informé ses clients d’une autre faille critique affectant ses routeurs Small Business RV110W, RV130, RV130W et RV215W, qui pourrait permettre à un adversaire distant non authentifié d’exécuter un code arbitraire ou de provoquer un redémarrage inattendu de l’appareil concerné, ce qui entraînerait un déni de service.

Partager cet article sur les médias sociaux :

Abonnez-vous à Notre Infolettre !

Restez au fait des risques de cybersécurité, de l’évolution des menaces et de l’actualité du secteur.

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Dernières Nouvelles

Services en Vedette

Actualités Concernant la Cybersécurité

Qu’il s’agisse de cyberattaques majeures, de vulnérabilités critiques récemment découvertes ou de bonnes pratiques recommandées, lisez d’abord ici :

BOOK A MEETING

Enter your Email Address

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* No free email provider (e.g: gmail.com, hotmail.com, etc.)

PLANIFIER UNE RENCONTRE

Saisissez Votre Adresse Courriel

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* Pas de fournisseur de courrier électronique gratuit (par exemple : gmail.com, hotmail.com, etc.)

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.