Vergangene Woche warnte Cisco vor einer Sicherheitslücke, die es Angreifern ohne Authentifizierung ermöglicht, die Passwörter von beliebigen Konten auf On-Prem-Geräten mit Cisco Smart Software Manager zu ändern (CVE-2024-20419). Eine weitere kritische Lücke (CVE-2024-20401) betrifft Cisco Secure Email Gateway (SEG). Der Hersteller listet sie mit einem CVSS Score von 9.8 von maximal 10 Punkten.

Die Schwachstelle werde durch die unsachgemässe Behandlung von E-Mail-Anhängen verursacht, wenn die Dateianalyse und Inhaltsfilter aktiviert sind, schreibt Cisco.

Ein Angreifer könne die Lücke ausnutzen, indem er eine E-Mail mit einem manipulierten Anhang über ein betroffenes Gerät sende. Eine erfolgreiche Attacke könnte es Angreifern ermöglichen, eine beliebige Datei im zugrundeliegenden Dateisystem zu ersetzen. Dies würde es Angreifern wiederum ermöglichen, Benutzer mit Root-Rechten hinzuzufügen, die Gerätekonfiguration zu ändern oder einen permanenten Denial-of-Service auf dem betroffenen Gerät herbeizuführen, schreibt Cisco.

Cisco hat Software-Updates veröffentlicht, um die Schwachstelle zu beheben. Es gebe keine Workarounds, heisst es im Security Advisory. Zur Behebung eines DoS-Zustands sei ein manueller Eingriff nötig. Nicht von dieser Lücke betroffen sind gemäss Cisco Secure Email and Web Manager sowie Secure Web Appliance.