PT-2024-18642 · Cisco · Cisco Identity Services Engine
Pear1Y
·
Publicado
2024-07-17
·
Atualizado
2025-04-07
·
CVE-2024-20296
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Cisco Identity Services Engine (ISE) (versões afetadas não especificadas)
Descrição
Uma vulnerabilidade na interface de gerenciamento baseada na web poderia permitir que um invasor remoto autenticado enviasse arquivos arbitrários para um dispositivo afetado. O invasor precisaria, no mínimo, de credenciais válidas de administrador de políticas no dispositivo afetado. Esse problema se deve à validação inadequada dos arquivos enviados. Um invasor poderia explorar essa vulnerabilidade enviando arquivos arbitrários, potencialmente armazenando arquivos maliciosos, executando comandos arbitrários e elevando privilégios para root.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cisco Identity Services Engine