Biztonsági frissítést adott ki a Cisco, amellyel három sérülékenység, köztük az Email Security Appliance (ESA) egy súlyos hibája került javításra. A CVE-2022-20653 (CVSS-pontszám: 7,5) számon nyomon követett sebezhetőség a DNS-névfeloldás nem megfelelő hibakezeléséből adódik, távoli kihasználásával pedig olyan speciálisan kialakított rosszindulatú e-mailek küldhetők, amik akár szolgáltatáskiesést (DoS) is eredményezhetnek.
A sérülékenység a Cisco AsyncOS Software 14.0, 13.5, 13.0, 12.5 és korábbi verziókat futtató Cisco ESA eszközöket érinti, amelyeknél engedélyezve van a „DANE” funkció, valamint a levelezőszerver downstream-je az ún. visszapattanó* e-mailekre van konfigurálva. Ezen kívül javításra került a Cisco Prime Infrastructure and Evolved Programmable Network Manager cross-site scripting (XSS) sérülékenysége (CVE-2022-20659), valamint a Cisco Redundancy Configuration Manager for Cisco StarOS Software TCP DoS sebezhetősége (CVE-2022-20750) is.
A Cisco korábban az RV Series routerek kritikus (10-es CVSS pontszámú) sérülékenységeit is javította, amelyek kihasználásával a támadók emelt szintű jogosultságot szerezhettek, és így tetszőleg kódokat futtathattak a célzott rendszereken.
* Az e-mailkiszolgáló által visszaküldött e-mail.
