Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-06490

Опубликовано: 19 окт. 2022
Источник: fstec
CVSS3: 7.1
CVSS2: 7.5
EPSS Низкий

Описание

Уязвимость веб-интерфейса платформы управления политиками соединений Cisco Identity Services Engine связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, читать и изменять файлы на уязвимом устройстве путем отправки специально сформированного HTTP-запроса

Вендор

Cisco Systems Inc.

Наименование ПО

Cisco Identity Services Engine

Версия ПО

от 3.1 до 3.1P5 (Cisco Identity Services Engine)
от 3.2 до 3.2P1 (Cisco Identity Services Engine)

Тип ПО

ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,1)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- ограничение доступа из внешних сетей (Интернет);
- использование средств межсетевого экранирования уровня веб-приложений.
Использование рекомендации производителя:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-path-trav-Dz5dpzyM

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 64%
0.00467
Низкий

7.1 High

CVSS3

7.5 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2022-20822

CVSS3: 7.1
nvd
больше 3 лет назад

A vulnerability in the web-based management interface of Cisco Identity Services Engine (ISE) could allow an authenticated, remote attacker to read and delete files on an affected device. This vulnerability is due to insufficient validation of user-supplied input. An attacker could exploit this vulnerability by sending a crafted HTTP request that contains certain character sequences to an affected system. A successful exploit could allow the attacker to read or delete specific files on the device that their configured administrative level should not have access to. Cisco plans to release software updates that address this vulnerability.

github логотип

GHSA-5fgq-hr27-pxc6

CVSS3: 8.1
github
больше 3 лет назад

A vulnerability in the web-based management interface of Cisco Identity Services Engine (ISE) could allow an authenticated, remote attacker to read and delete files on an affected device. This vulnerability is due to insufficient validation of user-supplied input. An attacker could exploit this vulnerability by sending a crafted HTTP request that contains certain character sequences to an affected system. A successful exploit could allow the attacker to read or delete specific files on the device that their configured administrative level should not have access to. Cisco plans to release software updates that address this vulnerability.

EPSS

Процентиль: 64%
0.00467
Низкий

7.1 High

CVSS3

7.5 High

CVSS2