| CVE編號 | CVE-2024-20401 |
|---|---|
| 影響產品 | Cisco Secure Email Gateway |
| 解決辦法 | 思科已發布更新軟體予以修補,並強調沒有其他替代的緩解措施。請更新 Content Scanner Tools 至 23.3.0.4823 (含)之後版本。 |
| 張貼日 | 2024-07-30 |
| 上稿單位 | TWCERT/CC |
- 內容說明:
Cisco Secure Email Gateway存在任意檔案寫入漏洞,該漏洞是因開啟文件分析及內容過濾功能時,不當處理郵件附檔造成。該漏洞可能允許未經驗證的遠端攻擊者,藉由寄送帶有特製附件的惡意郵件觸發漏洞,從而新增具有 root 權限的使用者、竄改裝置組態、執行任意程式碼,或在受影響的裝置上造成永久阻斷服務 (DoS) 。
- 影響平台:
在寄入信件(incoming mail)設定中,開啟文件分析及內容過濾功能時,若Content Scanner Tools 版本低於 23.3.0.4823(不含)