Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-16120

Опубликовано: 17 дек. 2025
Источник: fstec
CVSS3: 10
CVSS2: 10
EPSS Низкий

Описание

Уязвимость функции Spam Quarantine операционной системы Cisco AsyncOS средств защиты Cisco Secure Email and Web Manager, Cisco Secure Email Gateway связана с недостатками механизма проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с правами root

Вендор

Cisco Systems Inc.

Наименование ПО

AsyncOS
Cisco Secure Email and Web Manager
Cisco Secure Email Gateway
Secure Email and Web Manager Virtual Appliance
Secure Email Gateway Virtual Appliance

Версия ПО

до 16.0.3-044 включительно (AsyncOS)
- (Cisco Secure Email and Web Manager)
- (Cisco Secure Email Gateway)
- (Secure Email and Web Manager Virtual Appliance)
- (Secure Email Gateway Virtual Appliance)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Программное средство защиты
ПО виртуализации/ПО виртуального программно-аппаратного средства

Операционные системы и аппаратные платформы

Cisco Systems Inc. AsyncOS до 16.0.3-044 включительно

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 10)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование разных сетевых портов для обработки почтовых сообщений и администрирования уязвимого программного обеспечения;
- ограничение возможности доступа к уязвимому программному обеспечению по протоколу HTTP;
- настройка механизма аутентификации по протоколам SAML или LDAP;
- использование средств межсетевого экранирования уровня веб-приложений (WAF) для фильтрации сетевого трафика;
- использование SIEM-систем для отслеживания попыток эксплуатации уязвимости;
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- ограничение доступа к устройству из внешних сетей (Интернет).

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 91%
0.06138
Низкий

10 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-20393

CVSS3: 10
nvd
около 2 месяцев назад

A vulnerability in the Spam Quarantine feature of Cisco AsyncOS Software for Cisco Secure Email Gateway and Cisco Secure Email and Web Manager could allow an unauthenticated, remote attacker to execute arbitrary system commands on an affected device with root privileges. This vulnerability is due to insufficient validation of HTTP requests by the Spam Quarantine feature. An attacker could exploit this vulnerability by sending a crafted HTTP request to the affected device. A successful exploit could allow the attacker to execute arbitrary commands on the underlying operating system with root privileges.

github логотип

GHSA-mrgj-cg36-fgq8

CVSS3: 10
github
около 2 месяцев назад

Cisco is aware of a potential vulnerability.  Cisco is currently investigating and will update these details as appropriate as more information becomes available.

EPSS

Процентиль: 91%
0.06138
Низкий

10 Critical

CVSS3

10 Critical

CVSS2