PT-2021-5118 · Cisco · Cisco Identity Services Engine
Alexander Polce Leary
·
Publicado
2021-10-06
·
Atualizado
2023-06-26
·
CVE-2021-1594
CVSS v2.0
9.3
Alta
| Vetor | AV:N/AC:M/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Cisco Identity Services Engine (versões afetadas não especificadas)
Descrição
O problema está relacionado à validação insuficiente de entradas para pontos de extremidade específicos da API REST do Cisco Identity Services Engine. Isso poderia permitir que um invasor remoto realizasse um ataque de injeção de comando e elevasse privilégios ao nível de root. Um invasor em uma posição de homem no meio poderia explorar essa vulnerabilidade interceptando e modificando comunicações específicas entre nós de uma persona do ISE para outra. Uma exploração bem-sucedida poderia permitir que o invasor executasse comandos arbitrários com privilégios de root no sistema operacional subjacente. Para explorar isso, o invasor precisaria descriptografar o tráfego HTTPS entre duas instâncias do ISE localizadas em nós separados.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
OS Command Injection
Command Injection
Incorrect Privilege Assignment
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Cisco Identity Services Engine