Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2022-20942

Опубликовано: 04 нояб. 2022
Источник: nvd
CVSS3: 6.5
EPSS Низкий

Описание

A vulnerability in the web-based management interface of Cisco Email Security Appliance (ESA), Cisco Secure Email and Web Manager, and Cisco Secure Web Appliance, formerly known as Cisco Web Security Appliance (WSA), could allow an authenticated, remote attacker to retrieve sensitive information from an affected device, including user credentials.

This vulnerability is due to weak enforcement of back-end authorization checks. An attacker could exploit this vulnerability by sending a crafted HTTP request to an affected device. A successful exploit could allow the attacker to obtain confidential data that is stored on the affected device.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одновременно

Одно из

cpe:2.3:o:cisco:asyncos:*:*:*:*:*:*:*:*
Версия до 14.2.1-015 (исключая)
cpe:2.3:o:cisco:asyncos:*:*:*:*:*:*:*:*
Версия от 14.3.0 (включая) до 14.3.0-023 (исключая)
cpe:2.3:h:cisco:secure_email_gateway:-:*:*:*:*:*:*:*
Конфигурация 2

Одновременно

Одно из

cpe:2.3:o:cisco:asyncos:*:*:*:*:*:*:*:*
Версия до 14.2.0-217 (исключая)
cpe:2.3:o:cisco:asyncos:*:*:*:*:*:*:*:*
Версия от 14.3.0 (включая) до 14.3.0-115 (исключая)
cpe:2.3:h:cisco:secure_email_and_web_manager:-:*:*:*:*:*:*:*
Конфигурация 3

Одновременно

Одно из

cpe:2.3:o:cisco:asyncos:*:*:*:*:*:*:*:*
Версия до 12.0.5-011 (исключая)
cpe:2.3:o:cisco:asyncos:*:*:*:*:*:*:*:*
Версия от 12.5 (включая) до 12.5.4-005 (исключая)
cpe:2.3:o:cisco:asyncos:*:*:*:*:*:*:*:*
Версия от 14.0 (включая) до 14.0.2-012 (исключая)
cpe:2.3:h:cisco:secure_web_appliance:-:*:*:*:*:*:*:*

EPSS

Процентиль: 50%
0.00271
Низкий

6.5 Medium

CVSS3

Дефекты

CWE-359
CWE-863

Связанные уязвимости

github логотип

GHSA-96p6-q6gp-f474

CVSS3: 6.5
github
больше 3 лет назад

A vulnerability in the web-based management interface of Cisco Email Security Appliance (ESA), Cisco Secure Email and Web Manager, and Cisco Secure Web Appliance, formerly known as Cisco Web Security Appliance (WSA), could allow an authenticated, remote attacker to retrieve sensitive information from an affected device, including user credentials. This vulnerability is due to weak enforcement of back-end authorization checks. An attacker could exploit this vulnerability by sending a crafted HTTP request to an affected device. A successful exploit could allow the attacker to obtain confidential data that is stored on the affected device.

fstec логотип

BDU:2022-06854

CVSS3: 6.5
fstec
больше 3 лет назад

Уязвимость веб-интерфейса управления операционной системы Cisco AsyncOS системы обеспечения безопасности электронной почты Cisco Email Security Appliance (ESA), устройства управления защитой контента Cisco Secure Email and Web Manager и интернет-шлюзов Cisco Secure Web Appliance (ранее Cisco Web Security Appliance (WSA)), позволяющая нарушителю раскрыть защищаемую информацию

EPSS

Процентиль: 50%
0.00271
Низкий

6.5 Medium

CVSS3

Дефекты

CWE-359
CWE-863