Cisco Web Security Appliance CVE-2013-3383命令注入漏洞

漏洞起因
输入验证错误
危险等级

影响系统
Cisco Web Security Appliance < 7.1.3-013 Cisco Web Security Appliance 7.5 Cisco Web Security Appliance 7.7 Cisco IronPort AsyncOS Software 不受影响系统 危害 远程攻击者可以利用漏洞以系统上下文执行任意命令。 CVSSv2:9.0 (AV:N/AC:L/Au:S/C:C/I:C/A:C) 攻击所需条件 攻击者必须访问Cisco IronPort AsyncOS IronPort。 漏洞信息 IronPort系列产品是广泛使用的邮件加密网关,AsyncOS是该产品所使用的操作系统,专门用于处理并发通讯的瓶颈以及基于文件的邮件队列的限制。Cisco Web Security Appliance是一个思科公司推出的安全WEB网管。 多个产品使用的WEB架构代码存在安全漏洞,允许通过验证的远程攻击者以高权限执行任意系统命令。 漏洞是由于没有正确过滤用户提交的特殊的URL,在传递给设备上的命令行接口进行解析时,可导致以运行程序上下文执行任意命令。也可以诱使合法用户点击特制的URL来利用此漏洞,成功利用漏洞可以完全控制受影响设备。 运行了存在此漏洞的Cisco IronPort AsyncOS软件的Cisco Web Security ApplianceCisco Web Security Appliance所有型号受此漏洞影响。 测试方法 安全建议 厂商解决方案 用户可参考如下厂商提供的安全公告获得补丁信息: http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130626-wsa 漏洞提供者 Cisco

评论关闭。