Jesse Via

Nome do Software Vulnerável e Versões Afetadas: Cisco Identity Services Engine (ISE) (versões afetadas não especificadas) Descrição: Uma vulnerabilidade na interface de gerenciamento baseada na web do Cisco Identity Services Engine (ISE) pode permitir que um atacante remoto autenticado contorne os mecanismos de autorização para funções administrativas específicas. Isso ocorre devido a mecanismos de imposição de autorização insuficientes para usuários criados pela integração SAML SSO com um provedor de identidade externo. Um atacante pode explorar esta vulnerabilidade enviando uma série de comandos específicos para um dispositivo afetado, potencialmente modificando um número limitado de configurações do sistema, incluindo algumas que resultariam na reinicialização do sistema. Em implantações de nó único do Cisco ISE, dispositivos que não estão autenticados na rede não conseguirão se autenticar até que o sistema Cisco ISE volte a ficar online. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Cisco Identity Services Engine (ISE) (affected versions not specified) **Description** A vulnerability in the web-based management interface of Cisco Identity Services Engine (ISE) could allow an authenticated, remote attacker to access sensitive information. This vulnerability is due to the improper storage of sensitive information within the web-based management interface. An attacker could exploit this vulnerability by logging in to the web-based management interface and viewing hidden fields within the application. A successful exploit could allow the attacker to access sensitive information, including device entry credentials, that could aid the attacker in further attacks. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.