以下是关于该漏洞的关键信息,以简洁的Markdown格式呈现: --- 漏洞概要 ID: cisco-sa-ESA-HTTP-Inject-nvsycUmR、CVE-2022-20772、CVE-113 风险等级: 中等 首次发布日期: 2022年11月2日,16:00 GMT CISBug ID: CSCvz24026、CSCwa84908 CVSS评分: 4.7(基本) 漏洞描述 Cisco Email Security Appliance(ESA)和Cisco Secure Email及Web Manager存在漏洞,这可能允许未认证的远程攻击者进行HTTP响应头注入攻击。该漏洞源于应用程序或其环境未能正确清理输入值。攻击者可以利用此漏洞注入恶意HTTP头,控制响应体或分割出多个响应。 影响的产品 易受攻击的产品 - ESA - Secure Email和Web Manager 确认不受影响的产品 - Cisco Secure Web Appliance,即Cisco Web Security Appliance。 缓解措施 此漏洞无任何缓解措施。 固定软件 Cisco已经发布了修复该漏洞的软件更新。 ESA: CSCwa84908 Secure Email 和 Web Manager: CSCvz24026 具体固件版本如下: ESA Secure Email及Web Manager 漏洞利用和公共公告 Cisco产品安全事件响应团队(PSIRT)没有知悉关于此漏洞的任何公开声明或恶意利用的行为。 来源信息 此漏洞在内部安全测试中被发现。 文档链接 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ESA-HTTP-Inject-nvsycUmR 文档修订历史