2023-1148: Cisco Identity Services Engine: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes mit den Rechten des Dienstes
Historie:
- Version 1 (2023-05-19 14:41)
- Neues Advisory
Betroffene Software
Netzwerk
Sicherheit
Betroffene Plattformen
Hardware
Cisco
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode mit den Rechten des betroffenen Dienstes auszuführen und einen Server-Side-Request-Forgery (SSRF)-Angriff durchzuführen. Zudem kann ein Angreifer zwei Schwachstellen lokal ausnutzen, um Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen und Root-Rechte zu erlangen.
Für die Ausnutzung der meisten Schwachstellen sind erweiterte Privilegien erforderlich. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.
Cisco informiert über die Schwachstellen und stellt die Cisco Identity Services Engine (ISE) Versionen 3.0P8, 3.1P6, 3.1P7, 3.1P8, 3.2P1 und 3.2P2 als Sicherheitsupdates zur Behebung der Schwachstellen bereit. Die Version 3.0P8 ist für Juli 2023, die Version 3.1P7 für Juni 2023 und die Version 3.1P8 für August 2023 angekündigt.
Schwachstellen:
CVE-2023-20077 CVE-2023-20087
Schwachstellen in Cisco Identity Services Engine ermöglichen Ausspähen von InformationenCVE-2023-20106
Schwachstelle in Cisco Identity Services Engine ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2023-20163
Schwachstelle in Cisco Identity Services Engine ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des DienstesCVE-2023-20164
Schwachstelle in Cisco Identity Services Engine ermöglicht u. a. Ausführen beliebigen ProgrammcodesCVE-2023-20166
Schwachstelle in Cisco Identity Services Engine ermöglicht u. a. Umgehen von SicherheitsvorkehrungenCVE-2023-20167
Schwachstelle in Cisco Identity Services Engine ermöglicht Ausspähen von InformationenCVE-2023-20171
Schwachstelle in Cisco Identity Services Engine ermöglicht Manipulation von DateienCVE-2023-20172
Schwachstelle in Cisco Identity Services Engine ermöglicht Ausspähen von InformationenCVE-2023-20173
Schwachstelle in Cisco Identity Services Engine ermöglicht Ausspähen von InformationenCVE-2023-20174
Schwachstelle in Cisco Identity Services Engine ermöglicht Server-Side-Request-Forgery-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.