2020-0454: Cisco Identity Services Engine (ISE): Eine Schwachstelle ermöglicht einen Cross-Site-Scripting-Angriff

Historie:

Version 1 (2020-03-05 14:13)

Neues Advisory

Betroffene Software

Netzwerk
Sicherheit

Betroffene Plattformen

Hardware
Cisco

Beschreibung:

Ein entfernter Angreifer mit üblichen Benutzerrechten kann die Schwachstelle für einen Cross-Site-Scripting (XSS)-Angriff ausnutzen, indem er eine speziell präparierte Konfiguration speichert (hierfür sind Schreibrechte erforderlich) und einen Administrator zur Ansicht dieser Konfiguration verleitet. Ein erfolgreicher Angriff ermöglicht die Ausführung von Script-Programmcode im Kontext der Web-Anwendung sowie den Zugriff auf Informationen aus dem Browser des Benutzers.

Cisco bestätigt die Schwachstelle für Cisco Identity Services Engine (ISE) 2.7 und früher und gibt an, dass Sicherheitsupdates zur Verfügung stehen.

Schwachstellen:

CVE-2020-3157

Schwachstelle in Cisco Identity Services Engine ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.