Alvaro Gutierrez

**Nome do software vulnerável e versões afetadas** Versões do Cisco Secure Web Appliance anteriores à 14.5.0-537 Versões 12.5 e 14.0 do Cisco Secure Web Appliance (atualizações pendentes) **Descrição** Uma vulnerabilidade na interface de gerenciamento web do Cisco AsyncOS para o Cisco Secure Web Appliance pode permitir que um invasor remoto autenticado execute uma injeção de comando e eleve privilégios para root. Isso se deve à validação insuficiente das entradas fornecidas pelo usuário para a interface web. Um invasor poderia explorar isso autenticando-se no sistema e enviando um pacote HTTP malicioso ao dispositivo afetado, permitindo potencialmente a execução de comandos arbitrários no sistema operacional subjacente e a elevação de privilégios para root. O invasor precisaria de, no mínimo, credenciais de leitura para explorar com sucesso essa vulnerabilidade. **Recomendações** Para versões do Cisco Secure Web Appliance anteriores à 14.5.0-537, atualize para a versão 14.5.0-537 ou posterior. Para as versões 12.5 e 14.0 do Cisco Secure Web Appliance, aplique as atualizações pendentes assim que estiverem disponíveis. Como solução alternativa temporária, considere restringir o acesso à interface de gerenciamento web até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Cisco Web Security Appliance (versões afetadas não especificadas) Cisco Firepower Threat Defense (versões afetadas não especificadas) Mecanismo de detecção Snort (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade na filtragem de solicitações de Identificação de Nome do Servidor (SNI) poderia permitir que um invasor remoto não autenticado contornasse a tecnologia de filtragem em um dispositivo afetado e extraísse dados de um host comprometido. Esse problema se deve à filtragem inadequada do handshake SSL. Um invasor poderia explorar essa vulnerabilidade usando dados do pacote SSL client hello para se comunicar com um servidor externo. Uma exploração bem-sucedida poderia permitir que o invasor executasse um ataque de comando e controle em um host comprometido e realizasse ataques adicionais de exfiltração de dados. **Recomendações** Para o Cisco Web Security Appliance, considere desativar o recurso de filtragem de solicitações SNI até que um patch esteja disponível. Para o Cisco Firepower Threat Defense, restrinja o acesso ao handshake SSL para minimizar o risco de exploração. Para o mecanismo de detecção Snort, evite usar o pacote SSL client hello na tecnologia de filtragem afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Cisco Web Security Appliance (WSA) (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade no gerenciamento de configuração do Cisco AsyncOS para o Cisco Web Security Appliance (WSA) poderia permitir que um invasor remoto autenticado realizasse injeção de comando e elevasse privilégios para root. Esse problema se deve à validação insuficiente da entrada XML fornecida pelo usuário para a interface web. Um invasor poderia explorar isso enviando arquivos de configuração XML criados especificamente para conter código de script para um dispositivo vulnerável, permitindo a execução de comandos arbitrários no sistema operacional subjacente e a elevação de privilégios para root. O invasor precisaria de uma conta de usuário válida com direitos para enviar arquivos de configuração para explorar este problema. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Cisco Web Security Appliance (WSA) (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade na interface de gerenciamento baseada na web do Cisco AsyncOS para o Cisco Web Security Appliance poderia permitir que um invasor remoto autenticado realizasse um ataque de script entre sites (XSS) armazenado contra um usuário da interface de um dispositivo afetado. O problema existe porque a interface de gerenciamento baseada na web não valida adequadamente as entradas fornecidas pelo usuário. Um invasor poderia explorar isso inserindo dados maliciosos em um campo de dados específico na interface afetada, permitindo potencialmente a execução de código de script arbitrário no contexto da interface afetada. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.