ALT: (8.8)

CVSS3: 7.7

El motor de serveis d’identitat de Cisco és vulnerable a la falsificació de sol·licituds en llocs creuats, causada per proteccions insuficients de CSRF per a la interfície de gestió basada en la web d’un dispositiu afectat. En persuadir a un usuari autenticat perquè visiti un lloc web maliciós, un atacant remot podria enviar una sol·licitud HTTP malformada per a realitzar accions arbitràries en el dispositiu afectat amb els privilegis de l’usuari objectiu. Un atacant podria aprofitar aquesta vulnerabilitat per dur a terme atacs de scripting entre llocs, enverinament de la memòria cache web i altres activitats malicioses.

Sistemes Afectats

• Cisco Identity Services Engine 2.2
• Cisco Identity Services Engine 2.6 Patch 9
• Cisco Identity Services Engine 2.7
• Cisco Identity Services Engine 3.0

Remediació
Consulti l’avís de seguretat de Cisco cisco-sa-ise-csrf-vgNtTpAs per a obtenir informació sobre actualitzacions o solucions suggerides.

Referències

• https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-csrf-vgNtTpAs
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-20961