Vulnérabilité dans Cisco Identity Services Engine

Date de publication : 13/10/2020

Une vulnérabilité a été découverte dans Cisco Identity Services Engine. Elle peut permettre à un attaquant de modifier la configuration d’un appareil vulnérable.

CVE-2020-3467 [Score CVSS v3 : 7.7] : Une vulnérabilité due à un contrôle d’accès incorrect a été découverte dans l’interface web de management de Cisco Identity Services Engine. Elle peut permettre à un attaquant distant et authentifié de modifier la configuration d’un appareil vulnérable via l’envoi d’une requête HTTP spécialement conçue.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Modification non autorisée de configuration

Criticité

Score CVSS v3 : 7.7

Existence d’un code d’exploitation

Aucun code d’exploitation n’est disponible publiquement

Composants vulnérables

Cisco Identity Services Engine versions 2.3, 2.4, 2.5, 2.6 et 2.7

Les versions 2.2 et antérieures ne sont pas vulnérables ainsi que la version 3.0

CVE

CVE-2020-3467

Solutions ou recommandations

Mise en place de correctifs de sécurité

Mettre à jour Cisco Identity Services Engine vers une version non vulnérable :
- 2.4 Patch13, 2.6 Patch7 ou 2.7 Patch2

Solution de contournement

Aucune solution de contournement

Liens

Cisco Identity Services Engine Authorization Bypass Vulnerability