2023-0766: Cisco Evolved Programmable Network Manager, Cisco Identity Services Engine, Cisco Prime Infrastructure: Mehrere Schwachstellen ermöglichen u. a. das Umgehen von Sicherheitsvorkehrungen
Historie:
- Version 1 (2023-04-06 13:31)
- Neues Advisory
- Version 2 (2023-04-12 11:58)
- Cisco hat den Sicherheitshinweis cisco-sa-pi-epnm-eRPWAXLe hinsichtlich der fehlerbereinigten Releases aktualisiert. Demnach ist Cisco Evolved Programmable Network (EPN) Manager 7.0 nicht verwundbar.
- Version 3 (2023-05-16 09:28)
- Cisco hat den Sicherheitshinweis cisco-sa-pi-epnm-eRPWAXLe hinsichtlich der fehlerbereinigten Releases aktualisiert. Demnach werden die Schwachstellen CVE-2023-20127, CVE-2023-20129, CVE-2023-20130 und CVE-2023-20131 für Cisco Prime Infrastructure bereits mit den Versionen 3.7.1 Security Update 01, 3.8.1 Security Update 02, 3.9.1 Security Update 02 und 3.10.2 behoben.
Betroffene Software
Netzwerk
Sicherheit
Betroffene Plattformen
Hardware
Cisco
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, einen Cross-Site-Request-Forgery (CSRF)- und Cross-Site-Scripting (XSS)-Angriff durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Sicherheitsvorkehrungen zu umgehen, Root-Rechte zu erlangen und Befehlsinfektionsangriffe auf das zugrunde liegende Betriebssystem durchzuführen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.
Cisco informiert über die Schwachstellen und veröffentlicht Cisco Identity Services Engine (ISE) 3.2 Patch1, Cisco Prime Infrastructure 3.7.1 Update 07 (Apr 2023), 3.8.1 Update 04 (Apr 2023), 3.9.1 Update 03 (Apr 2023), 3.10.2 und 3.10.4 (May 2023) sowie Cisco Evolved Programmable Network (EPN) Manager 5.0.2.5, 5.1.4.3, 6.0.2.1, 6.1.1.1 und 7.0.1 (Jul 2023), um die Schwachstellen zu beheben.
Schwachstellen:
CVE-2023-20121
Schwachstelle in Cisco Evolved Programmable Network Manager, Cisco Identity Services Engine und Cisco Prime Infrastructure ermöglicht u. a. Umgehen von SicherheitsvorkehrungenCVE-2023-20122
Schwachstelle in Cisco Identity Services Engine ermöglicht u. a. Umgehen von SicherheitsvorkehrungenCVE-2023-20127
Schwachstelle in Cisco Prime Infrastructure ermöglicht Ausspähen von InformationenCVE-2023-20129
Schwachstelle in Cisco Evolved Programmable Network Manager und Cisco Prime Infrastructure ermöglicht Ausspähen von InformationenCVE-2023-20130
Schwachstelle in Cisco Evolved Programmable Network Manager und Cisco Prime Infrastructure ermöglicht Cross-Request-Forgery-AngriffCVE-2023-20131
Schwachstelle in Cisco Evolved Programmable Network Manager und Cisco Prime Infrastructure ermöglicht Cross-Site-Scripting-AngriffCVE-2023-20152 CVE-2023-20153
Schwachstellen in Cisco Identity Services Engine ermöglichen u. a. Injektion beliebiger Befehle
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.