2024-2200: Cisco Identity Services Engine: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2024-08-22 16:13)

Neues Advisory

Version 2 (2024-08-23 09:35)

Der Hersteller hat den Sicherheitshinweis cisco-sa-ise-rest-5bPKrNtZ ergänzt und kündigt zusätzlich die Versionen 3.1 Patch 10 (Januar 2025) und 3.3 Patch 4 (Oktober 2024) zur Behebung der Schwachstelle CVE-2024-20417 an.

Betroffene Software

Netzwerk
Sicherheit

Betroffene Plattformen

Hardware
Cisco

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen und beliebigen Programmcode mit den Rechten des angemeldeten Benutzers auszuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers.

Alle Schwachstellen werden mit der Software Version 3.4 behoben. Die Schwachstelle CVE-2024-20466 wird zusätzlich mit den Patches 3.2P5 und 3.3P2 behoben. Die Schwachstelle CVE-2024-20486 wird zusätzlich mit den Patches 3.1P9, 3.2P7 (Sep 2024) und 3.3P3 behoben.

Schwachstellen:

CVE-2024-20417

Schwachstelle in Cisco Identity Services Engine ermöglicht u. a. Ausspähen von Informationen

CVE-2024-20466

Schwachstelle in Cisco Identity Services Engine ermöglicht Ausspähen von Informationen

CVE-2024-20486

Schwachstelle in Cisco Identity Services Engine ermöglicht Ausführen beliebigen Programmcodes mit Benutzerrechten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.