PT-2020-3065 · Cisco · Cisco Identity Services Engine
Publicado
2020-07-02
·
Atualizado
2020-07-09
·
CVE-2020-3340
CVSS v2.0
4.9
Média
| Vetor | AV:N/AC:M/Au:S/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
Cisco Identity Services Engine (versões afetadas não especificadas)
Descrição
O problema está relacionado à validação insuficiente das entradas fornecidas pelo usuário na interface de gerenciamento baseada na web, permitindo que um invasor remoto autenticado com credenciais administrativas realize um ataque de cross-site scripting (XSS). Isso poderia permitir que o invasor executasse código de script arbitrário no contexto da interface ou acessasse informações confidenciais baseadas no navegador. O invasor precisaria de credenciais administrativas válidas para explorar essas vulnerabilidades.
Recomendações
Para resolver o problema, atualize o Cisco Identity Services Engine para uma versão que inclua a correção para a validação insuficiente das entradas fornecidas pelo usuário.
Como solução alternativa temporária, considere restringir o acesso à interface de gerenciamento baseada na web para minimizar o risco de exploração.
Evite usar a interface com credenciais administrativas até que o problema seja resolvido.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cisco Identity Services Engine