PT-2020-1956 · Cisco · Cisco Identity Services Engine (Ise)
Publicado
2020-02-05
·
Atualizado
2020-03-04
·
CVE-2020-3149
CVSS v2.0
4.9
Média
| Vetor | AV:N/AC:M/Au:S/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
Versões do software Cisco Identity Services Engine (ISE) anteriores à 2.7.0
Descrição
Uma vulnerabilidade na interface de gerenciamento baseada na web pode permitir que um invasor remoto autenticado execute um ataque de script entre sites (XSS) armazenado em um dispositivo afetado. O problema se deve à validação insuficiente de entradas pela interface de gerenciamento baseada na web. Um invasor poderia explorar essa vulnerabilidade fornecendo dados maliciosos a um campo específico dentro da interface, permitindo potencialmente a execução de código de script arbitrário no contexto da interface afetada ou o acesso a informações confidenciais baseadas no navegador.
Recomendações
Para versões anteriores à 2.7.0, atualize para a versão 2.7.0 ou posterior do Cisco ISE Software para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à interface de gerenciamento baseada na web para minimizar o risco de exploração. Evite fornecer dados maliciosos a campos específicos dentro da interface até que o problema seja resolvido.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cisco Identity Services Engine (Ise)