2020-2409: Cisco Identity Services Engine (ISE): Mehrere Schwachstellen ermöglichen u. a. Cross-Site-Scripting-Angriffe

Historie:

Version 1 (2020-11-05 15:24)

Neues Advisory

Version 2 (2020-12-07 16:46)

Cisco weist in einer Aktualisierung der Sicherheitshinweise zu CVE-2020-27122 und CVE-2020-3551 darauf hin, dass Cisco ISE 3.0 nur über die Cloud aktualisiert werden kann und daher keine Patches für durch Air Gaps geschützte Systeme zur Verfügung stehen. Als Sicherheitsupdates für solche Systeme werden Cisco ISE 2.6 Patch8 und 2.7 Patch3 für CVE-2020-3551 angekündigt. Informationen zum Sicherheitsupdate für CVE-2020-27122 stehen weiterhin aus. Cisco veröffentlicht hier weitere Informationen zu betroffenen Konfigurationen und gibt an, dass Benutzer mit Administratorzugriff auf die Kommandozeile die betroffene Funktionalität 'Active Directory CLI' deaktivieren können, um die Schwachstelle zu umgehen. Solche Benutzer können die betroffene Funktionalität allerdings auch wieder aktivieren.

Version 3 (2020-12-29 15:31)

Als Sicherheitsupdate zur Behebung von CVE-2020-3551 steht jetzt Cisco ISE 2.6 Patch8 bereit.

Version 4 (2021-05-06 09:26)

Cisco gibt an, dass CVE-2020-27122 mit Cisco Identity Services Engine (ISE) 2.6 Patch 9 adressiert wird.

Betroffene Software

Netzwerk
Sicherheit

Betroffene Plattformen

Hardware
Cisco

Beschreibung:

Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Eine weitere Schwachstelle kann von einem Angreifer lokal ausgenutzt werden, um seine Privilegien auf Administratorrechte zu erhöhen. Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung dieser Schwachstellen kann Einfluss auf andere Komponenten haben.

Cisco informiert über die Schwachstellen, benennt unterschiedliche Versionen als betroffen und veröffentlicht Cisco Identity Services Engine (ISE) Release 3.0.0 zur Behebung der Schwachstellen CVE-2020-3551 und CVE-2020-27122.

Schwachstellen:

CVE-2020-26083

Schwachstelle in Cisco Identity Services Engine ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-27122

Schwachstelle in Cisco Identity Services Engine ermöglicht Erlangen von Administratorrechten

CVE-2020-3551

Schwachstelle in Cisco Identity Services Engine ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.