Alexander Polce Leary

**Nome do software vulnerável e versões afetadas** Software Cisco Identity Services Engine (ISE) (versões afetadas não especificadas) **Descrição** O problema existe devido à proteção insuficiente da estrutura da página da web na interface web da plataforma Cisco Identity Services Engine. Isso poderia permitir que um invasor remoto realizasse um ataque de script entre sites (XSS) contra um usuário da interface. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Cisco Identity Services Engine (ISE) (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade na interface de gerenciamento baseada na web do Cisco Identity Services Engine (ISE) poderia permitir que um invasor remoto autenticado, com privilégios administrativos de leitura, baixasse arquivos que deveriam estar restritos. Esse problema se deve a configurações incorretas de permissões em um dispositivo afetado. Um invasor poderia explorar essa vulnerabilidade enviando uma solicitação HTTP maliciosa ao dispositivo. Uma exploração bem-sucedida poderia permitir que o invasor baixasse arquivos que deveriam estar restritos. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Cisco Identity Services Engine (versões afetadas não especificadas) **Descrição** O problema está relacionado à validação insuficiente de entradas para pontos de extremidade específicos da API REST do Cisco Identity Services Engine. Isso poderia permitir que um invasor remoto realizasse um ataque de injeção de comando e elevasse privilégios ao nível de root. Um invasor em uma posição de homem no meio poderia explorar essa vulnerabilidade interceptando e modificando comunicações específicas entre nós de uma persona do ISE para outra. Uma exploração bem-sucedida poderia permitir que o invasor executasse comandos arbitrários com privilégios de root no sistema operacional subjacente. Para explorar isso, o invasor precisaria descriptografar o tráfego HTTPS entre duas instâncias do ISE localizadas em nós separados. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Cisco Identity Services Engine (ISE) (versões afetadas não especificadas) **Descrição** A interface de gerenciamento baseada na web do Cisco Identity Services Engine (ISE) apresenta várias vulnerabilidades que poderiam permitir que um invasor remoto autenticado realizasse um ataque de script entre sites (XSS) armazenado contra um usuário. Essas vulnerabilidades existem porque a interface de gerenciamento baseada na web não valida suficientemente as entradas fornecidas pelo usuário. Um invasor poderia explorar essas vulnerabilidades injetando código malicioso em páginas específicas da interface. Uma exploração bem-sucedida poderia permitir que o invasor executasse código de script arbitrário no contexto da interface afetada ou acessasse informações confidenciais baseadas no navegador. Para explorar essas vulnerabilidades, o invasor precisaria de credenciais administrativas válidas. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.