Cisco informuje o nowych podatnościach w swoich produktach w tym jednej KRYTYCZNEJ (P23-306)
cert.pse-online.pl 1 rok temu
Produkt
Cisco Identity Services Engine – wiele wersji Firepower Threat Defense – wiele wersji Cisco Firepower Management Center – wiele wersji Cisco Adaptive Security Appliance – wiele wersji Cisco Identity Services Engine – wiele wersji
Numer CVE
CVE-2023-20048
Krytyczność
9.9/10
CVSS
AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:H
Opis
Luka w interfejsie usług internetowych systemu Cisco Firepower Management Center (FMC) może pozwolić uwierzytelnionej, zdalnej osobie atakującej na wykonanie pewnych nieautoryzowanych poleceń konfiguracyjnych na urządzeniu Firepower Threat Defense (FTD) zarządzanym przez oprogramowanie FMC. Przyczyną tej luki jest niewystarczająca autoryzacja poleceń konfiguracyjnych wysyłanych za pośrednictwem interfejsu usługi internetowej. Osoba atakująca może wykorzystać tę lukę, uwierzytelniając się w interfejsie usług internetowych FMC i wysyłając spreparowane żądanie HTTP do urządzenia, którego dotyczy luka. Udany exploit może umożliwić atakującemu wykonanie określonych poleceń konfiguracyjnych na docelowym urządzeniu FTD. Aby skutecznie wykorzystać tę lukę, osoba atakująca będzie potrzebować ważnych danych uwierzytelniających w oprogramowaniu FMC.