Cisco - CVE-2022-20961

Date de publication : 04/11/2022

Une protection insuffisante contre les attaques de type « cross-site request forgery » dans l'interface de gestion Web de Cisco Identity Services Engine permet à un attaquant, en persuadant une victime de suivre une URL spécialement forgée, d’exécuter du code arbitraire sur le système.

CVE-2022-20961

[Score CVSS v3.1: 8.8]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Exécution de code arbitraire

Exploitation

La vulnérabilité exploitée est du type

CWE-352: Cross-Site Request Forgery

Détails sur l’exploitation

Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Systèmes ou composants affectés

Cisco Identity Services Engine

versions 2.4 et précédentes, 2.6, 2.7 et 3.0 et 3.1.

Solutions ou recommandations

Migrer Cisco Identity Services Engine en version 2.4 et précédentes vers une version corrigée.

Mettre à jour Cisco Identity Services Engine en version 2.6 vers la version 2.6p12.

Mettre à jour Cisco Identity Services Engine en version 2.7 vers la version 2.7p8.

Mettre à jour Cisco Identity Services Engine en version 3.0 vers la version 3.0p6.

Mettre à jour Cisco Identity Services Engine en version 3.1 vers la version 3.1p4.

Des informations complémentaires sont disponibles ici.

Liens

cisco-sa-ise-csrf-vgNtTpAs