CVE-2020-3447

**Nome do software vulnerável e versões afetadas:

Cisco AsyncOS para Cisco Email Security Appliance e Cisco AsyncOS para Cisco Content Security Management Appliance (versões afetadas não especificadas)

Descrição:

O problema está relacionado à proteção insuficiente dos dados de registro na interface de linha de comando do Cisco AsyncOS. Isso poderia permitir que um invasor remoto obtivesse acesso não autorizado a informações confidenciais. A vulnerabilidade se deve à verbosidade excessiva em determinadas assinaturas de log, o que poderia permitir que um invasor obtivesse dados confidenciais de log, incluindo credenciais de usuário, ao acessar arquivos de log específicos em um dispositivo afetado. O invasor precisaria ter credenciais válidas no nível de operador ou superior para explorar essa vulnerabilidade.

Recomendações:

Para o Cisco AsyncOS para Cisco Email Security Appliance e o Cisco AsyncOS para Cisco Content Security Management Appliance, considere restringir o acesso a arquivos de log e informações confidenciais para minimizar o risco de exploração.

Como solução alternativa temporária, considere desativar o acesso a assinaturas de log específicas que possam conter informações confidenciais até que um patch esteja disponível.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.