Cisco informuje o nowych podatnościach

cert.pse-online.pl 2 lat temu

Product	Cisco ISE Software
Numer CVE	CVE-2022-20964
Krytyczność	6.3/10
CVSS	AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
Opis	Ta luka jest spowodowana nieprawidłową walidacją danych wejściowych do funkcji aplikacji przed przechowywaniem w ramach funkcji tcpdump internetowego interfejsu zarządzania. Osoba atakująca może wykorzystać tę lukę, tworząc w interfejsie aplikacji wpisy zawierające złośliwy kod HTML lub skrypt. Udany exploit może umożliwić atakującemu przechowywanie złośliwego kodu HTML lub kodu skryptu w interfejsie aplikacji do wykorzystania w dalszych atakach typu cross-site scripting.

Numer CVE	CVE-2022-20966
Krytyczność	5.6/10
CVSS	AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
Opis	Ta luka jest spowodowana nieprawidłową walidacją danych wejściowych do funkcji aplikacji przed przechowywaniem w funkcji zewnętrznego serwera RADIUS internetowego interfejsu zarządzania. Osoba atakująca może wykorzystać tę lukę, tworząc w interfejsie aplikacji wpisy zawierające złośliwy kod HTML lub skrypt. Udany exploit może umożliwić atakującemu przechowywanie złośliwego kodu HTML lub kodu skryptu w interfejsie aplikacji do wykorzystania w dalszych atakach typu cross-site scripting.

Numer CVE	CVE-2022-20967
Krytyczność	4.8/10
CVSS	AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
Opis	Ta luka jest spowodowana nieprawidłową kontrolą dostępu do funkcji w internetowym interfejsie zarządzania systemu, którego dotyczy luka. Osoba atakująca może wykorzystać tę lukę, uzyskując dostęp do funkcji za pośrednictwem bezpośrednich żądań, omijając w ten sposób kontrole w aplikacji. Udany exploit może umożliwić atakującemu wykonanie uprzywilejowanych działań w internetowym interfejsie zarządzania, które w przeciwnym razie powinny być ograniczone.

Aktualizacja	NIE
Link	https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-7Q4TNYUx