2022-2607: Cisco Identity Services Engine: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebiger Betriebssystembefehle

Historie:

Version 1 (2022-11-17 11:50): Neues Advisory
Version 2 (2023-01-12 09:37): Cisco hat den Sicherheitshinweis aktualisiert und kündigt für den Versionszweig 2.7 das Patch Release 2.7p9 und für den Versionszweig 3.0 das Patch Release 3.0p7 jeweils für Februar 2023 an.
Version 3 (2023-01-26 11:58): Cisco hat den Sicherheitshinweis aktualisiert und informiert damit über die Veröffentlichung von Cisco Identity Services Engine (ISE) Version 3.2P1 als Sicherheitsupdate zur Behebung der Schwachstellen.

Betroffene Software

Netzwerk
Sicherheit

Betroffene Plattformen

Hardware
Cisco

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Sicherheitsvorkehrungen zu umgehen, beliebige Betriebssystembefehle auszuführen und verschiedene Cross-Site-Scripting (XSS)-Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.

Cisco informiert über die Schwachstellen und stellt die Cisco Identity Services Engine (ISE) Versionen 3.1P6 und 3.2P1 als Sicherheitsupdates zur Behebung der Schwachstellen bereit. Die Version 3.1P6 ist für März 2023 und die Version 3.2P1 für Januar 2023 angekündigt. Für Cisco ISE 3.1P5 und 3.2 stehen Hot-Patches auf Anfrage zur Verfügung.

Schwachstellen:

CVE-2022-20964

Schwachstelle in Cisco Identity Services Engine ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-20965

Schwachstelle in Cisco Identity Services Engine ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-20966

Schwachstelle in Cisco Identity Services Engine ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-20967