Vulnérabilité de type téléversement de fichiers arbitraires sur Cisco ISE

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Origine : bjCSIRT

Numéro : 2023/ALERTE/049

Date de l’alerte : 03/11/2023

APERÇU :

Deux vulnérabilités dans Cisco ISE permettraient à un attaquant distant authentifié de téléverser des fichiers arbitraires sur un appareil affecté. 

DESCRIPTION :

Cisco ISE est une solution de gestion des identités et des accès développés par Cisco System. Elle est conçue pour aider les entreprises à sécuriser leurs réseaux, à appliquer des politiques d’accès et à gérer l’authentification des utilisateurs et des appareils. 

Libellées sous le CVE-2023-20195 et le CVE-2023-20196, l’exploitation de ces vulnérabilités par des personnes malveillantes disposant d’information de sécurité valide de l’administrateur leur permettrait de téléverser des fichiers arbitraires sur l’appareil affecté. Ces vulnérabilités sont dues à une validation incorrecte des fichiers téléversés sur l’interface de gestion. 

Ces vulnérabilités sont de sévérité Medium et leurs scores est de 4.7. 

 

 

IMPACT :

  • Accès à des données sensibles ;
  • Compromission du Système.

SYSTÈMES AFFECTÉS : 

Cisco ISE.

MESURES À PRENDRE : 

Effectuer la dernière mise à jour de sécurité. 

RÉFÉRENCES :

Partagez sur vos réseaux.