Execució d’ordres de Cisco Identity Services Engine
07/11/2023
CVE-2023-20175
ALT: (8,8)
CVSS3: 7,7
Cisco Identity Services Engine podria permetre que un atacant local autenticat executi ordres arbitràries al sistema, causades per una validació incorrecta de l’entrada proporcionada per l’usuari. En enviar una ordre CLI especialment dissenyada, un atacant podria explotar aquesta vulnerabilitat per executar ordres arbitràries al sistema operatiu subjacent amb privilegis d’arrel.
Sistemes Afectats
- Cisco Identity Services Engine (ISE)
Remediació
Consulteu l’assessorament de seguretat de Cisco cisco-sa-ise-injection-QeXegrCw per obtenir informació sobre pedaços, actualitzacions o solucions alternatives suggerides. Vegeu-ne les Referències.
Referències
- Cisco Identity Services Engine Command Injection Vulnerabilities
- A vulnerability in a specific Cisco ISE CLI command could allow an authenticated, local attacker to perform command injection attacks on the underlying operating system and elevate privileges to root. To exploit this vulnerability, an attacker must have valid Read-only-level privileges or higher on the affected device.
