2026-1477: Cisco Identity Services Engine: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes mit Administratorrechten
Historie:
- Version 1 (2026-04-16 11:08)
- Neues Advisory
- Version 2 (2026-04-29 09:11)
- Cisco hat seinen Sicherheitshinweis cisco-sa-ise-rce-traversal-8bYndVrZ um die Information aktualisiert, dass die für April 2026 angekündigten Versionen jetzt zur Verfügung stehen.
Betroffene Software
Netzwerk
Sicherheit
Betroffene Plattformen
Hardware
Cisco
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode mit den Rechten des Administrators auszuführen sowie einen Path-Traversal-Angriff und Cross-Site-Scripting (XSS)-Angriffe durchzuführen. Zudem kann ein Angreifer eine Schwachstelle lokal ausnutzen, um Administratorrechte zu erlangen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.
Cisco informiert über die Schwachstellen in Cisco Identity Services Engine (ISE)/Cisco ISE Passive Identity Connector (ISE-PIC) in den Hauptversionen 3.1 bis 3.5 und kündigt die Versionen 3.1 Patch 11, 3.2 Patch 10, 3.3 Patch 11 und 3.4 Patch 6 für April 2026 an. Das Sicherheitsupdate in Version 3.5 Patch 3 steht bereits zur Verfügung.
Schwachstellen:
CVE-2026-20132
Schwachstellen in Cisco Identity Services Engine ermöglichen Cross-Site-Scripting-AngriffeCVE-2026-20136
Schwachstelle in Cisco Identity Services Engine ermöglicht Erlangen von AdministratorrechtenCVE-2026-20147
Schwachstelle in Cisco Identity Services Engine ermöglicht Ausführen beliebigen Programmcodes mit AdministratorrechtenCVE-2026-20148
Schwachstelle in Cisco Identity Services Engine ermöglicht einen Path-Traversal-AngriffCVE-2026-20180 CVE-2026-20186
Schwachstellen in Cisco Identity Services Engine ermöglichen Ausführen beliebigen Programmcodes mit Administratorrechten
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.