一、基本情况

思科安全电子邮件和 Web 管理器（以前称为思科安全管理设备 （SMA））和思科电子邮件安全设备 （ESA） 的外部身份验证功能中存在一个漏洞，该漏洞使得未经身份验证的远程攻击者能够绕过身份验证并登录到受影响设备的 Web 管理界面。

二、漏洞等级

严重（CVSS评分：9.8分）

三、漏洞描述

此漏洞是由于受影响的设备使用轻型目录访问协议 （LDAP） 进行外部身份验证时身份验证检查不当造成的。攻击者可以通过在受影响设备的登录页面上输入特定输入来利用此漏洞。成功利用此漏洞可使攻击者未经授权访问受影响设备的基于Web的管理界面。

四、影响范围

该漏洞会影响运行易受攻击的思科 AsyncOS 软件版本、使用外部身份验证且使用LDAP作为身份验证协议的思科 ESA 、思科安全电子邮件、 Web 管理器等设备。

安全电子邮件和Web管理器:

思科AsyncOS 11及更早版本, 12, 12.8版本需要升级至可修复版本

思科AsyncOS 13.0版本升级至13.0.0-277可修复

思科AsyncOS 13.6版本升级至13.6.2-090可修复

思科AsyncOS 13.8版本升级至13.8.1-090可修复

思科AsyncOS 14.0版本升级至14.0.0-418可修复

思科AsyncOS 14.1版本升级至14.1.0-250可修复

电子邮件安全设备:

思科AsyncOS 13,12,11及更早版本需要升级至可修复版本

思科AsyncOS 14版本升级至14.0.1-033可修复

五、修复措施

思科已发布可解决此漏洞的软件更新，用户可以使用下方官网链接中的方法解决此漏洞：

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sma-esa-auth-bypass-66kEcxQD

六、参考链接

国家信息安全漏洞共享平台 (cnvd.org.cn)

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sma-esa-auth-bypass-66kEcxQD