Cisco - CVE-2022-20956

Date de publication : 04/11/2022

Un défaut de contrôle d'accès dans l'interface de gestion Web de Cisco Identity Services Engine permet à un attaquant, en envoyant une requête HTTP spécialement forgée, de contourner la politique de sécurité du système et de porter atteinte à la confidentialité ainsi qu’à l’intégrité des données.

CVE-2022-20956

[Score CVSS v3.1: 7.1]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Oui

Risques

Atteinte à la confidentialité des données

Atteinte à l’intégrité des données

Contournement de la politique de sécurité

Exploitation

La vulnérabilité exploitée est du type

CWE-648: Incorrect Use of Privileged API

Détails sur l’exploitation

Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Systèmes ou composants affectés

Cisco Identity Services Engine

versions 3.1 et 3.2.

Solutions ou recommandations

Mettre à jour vers les versions 3.1P4 et 3.2 de Cisco ISE qui réduisent l'impact de la vulnérabilité en empêchant le téléchargement des fichiers.
Mettre à jour vers les versions 3.1P5 et 3.2P1 de Cisco ISE qui réduisent l'impact de la vulnérabilité en limitant les fichiers accessibles au dossier localdisk uniquement.
Des informations complémentaires sont disponibles ici.

Liens

cisco-sa-ise-access-contol-EeufSUCx