漏洞起因
输入验证错误
危险等级
中
影响系统
Cisco Web Security Appliance < 7.1.3-013
Cisco Web Security Appliance 7.5
Cisco Web Security Appliance 7.7
Cisco IronPort AsyncOS Software
不受影响系统
危害
远程攻击者可以利用漏洞以系统上下文执行任意命令。
CVSSv2:9.0 (AV:N/AC:L/Au:S/C:C/I:C/A:C)
攻击所需条件
攻击者必须访问Cisco IronPort AsyncOS IronPort。
漏洞信息
IronPort系列产品是广泛使用的邮件加密网关,AsyncOS是该产品所使用的操作系统,专门用于处理并发通讯的瓶颈以及基于文件的邮件队列的限制。Cisco Web Security Appliance是一个思科公司推出的安全WEB网管。
多个产品使用的WEB架构代码存在安全漏洞,允许通过验证的远程攻击者以高权限执行任意系统命令。
漏洞是由于没有正确过滤用户提交的特殊的URL,在传递给设备上的命令行接口进行解析时,可导致以运行程序上下文执行任意命令。也可以诱使合法用户点击特制的URL来利用此漏洞,成功利用漏洞可以完全控制受影响设备。
运行了存在此漏洞的Cisco IronPort AsyncOS软件的Cisco Web Security ApplianceCisco Web Security Appliance所有型号受此漏洞影响。
测试方法
安全建议
厂商解决方案
用户可参考如下厂商提供的安全公告获得补丁信息:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130626-wsa
漏洞提供者
Cisco
评论关闭。