Cisco - CVE-2026-20147

Date de publication :

Il s'agit d'une vulnérabilité dans l'interface d'administration web de Cisco Identity Services Engine (ISE) et Cisco ISE Passive Identity Connector (ISE-PIC).

Cisco Identity Services Engine est une plateforme de contrôle d'accès réseau (NAC) et de gestion des politiques d'identité. Il assure l'authentification, l'autorisation et la traçabilité des utilisateurs et des équipements connectés au réseau, qu'il s'agisse de postes de travail, d'équipements biomédicaux ou d'appareils mobiles.

Une validation insuffisante des entrées utilisateur permet à un attaquant authentifié de soumettre une requête HTTP forgée contenant des caractères spéciaux non neutralisés. Ces caractères sont interprétés directement par le shell système sous-jacent, provoquant une injection de commandes. L'exploitation aboutit d'abord à un accès au système d'exploitation avec des privilèges utilisateur, depuis lesquels une élévation vers root est possible. Dans les déploiements en nœud unique, l'exploitation peut rendre le nœud ISE indisponible, empêchant l'authentification de tout nouvel équipement sur le réseau.

Elle permet à un attaquant distant disposant de credentials administratifs d'exécuter des commandes arbitraires sur le système d'exploitation sous-jacent avec une élévation de privilèges jusqu'à root, et de provoquer un déni de service sur les déploiements en nœud unique.

CVE-2026-20147

[Score CVSS v3.1 : 9.9]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

•   Exécution de code arbitraire (à distance)
•   Déni de service (à distance)

Exploitation

La vulnérabilité exploitée est du type
CWE-77 : Improper Neutralization of Special Elements used in a Command ('Command Injection')

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

•   Cisco ISE et Cisco ISE-PIC versions antérieures à 3.1 (EOL, migration requise)
•   Cisco ISE et Cisco ISE-PIC versions 3.1 antérieures au Patch 11
•   Cisco ISE et Cisco ISE-PIC versions 3.2 antérieures au Patch 10
•   Cisco ISE et Cisco ISE-PIC versions 3.3 antérieures au Patch 11
•   Cisco ISE et Cisco ISE-PIC versions 3.4 antérieures au Patch 6
•   Cisco ISE versions 3.5 antérieures au Patch 3
•   Cisco ISE-PIC version 3.4 (dernière version supportée, fin de vente atteinte)

Solutions ou recommandations

  • Cisco ISE et ISE-PIC version 3.1 Patch 11 et supérieures 
  • Cisco ISE et ISE-PIC version 3.2 Patch 10 et supérieures 
  • Cisco ISE et ISE-PIC version 3.3 Patch 11 et supérieures 
  • Cisco ISE et ISE-PIC version 3.4 Patch 6 et supérieures 
  • Cisco ISE version 3.5 Patch 3 et supérieures

Liens