Cisco Firepower Management Center 软件 XXE 注入漏洞 (cisco-sa-fmc-xxe-MzPC4bYd)

medium Nessus 插件 ID 168327

简介

远程设备缺少供应商提供的安全补丁。

描述

远程主机上安装的 Cisco Firepower Management Center 版本低于测试版本。因此,它受到 Cisco Firepower Management Center (FMC) 软件管理界面的模块导入功能中一个漏洞的影响,这是因为在导入模块时 XML 语法验证不足。经过身份验证的远程攻击者可通过向函数提供特制的 XML 文件来利用此漏洞。若成功利用此漏洞,攻击者可以读取通常不会被泄露的敏感数据。

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

升级到 Cisco 错误 ID CSCwb53694 中提及的相关修正版本

另见

http://www.nessus.org/u?4808b723

https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwb53694

插件详情

严重性: Medium

ID: 168327

文件名: cisco-sa-fmc-xxe-MzPC4bYd.nasl

版本: 1.3

类型: local

系列: CISCO

发布时间: 2022/12/1

最近更新时间: 2022/12/2

风险信息

VPR

风险因素: Low

分数: 1.4

CVSS v2

风险因素: Medium

基本分数: 4

时间分数: 3

矢量: AV:N/AC:L/Au:S/C:P/I:N/A:N

时间矢量: E:U/RL:OF/RC:C

CVSS 分数来源: CVE-2022-20938

CVSS v3

风险因素: Medium

基本分数: 4.3

时间分数: 3.8

矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

时间矢量: E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:cisco:firepower_management_center

必需的 KB 项: Host/Cisco/firepower_mc/version

易利用性: No known exploits are available

补丁发布日期: 2022/11/9

漏洞发布日期: 2022/11/9

参考资料信息

CVE: CVE-2022-20938

CISCO-BUG-ID: CSCwb53694

CISCO-SA: cisco-sa-fmc-xxe-MzPC4bYd

IAVA: 2022-A-0486

CWE: 611