Várias vulnerabilidades foram descobertas no Cisco Services Engine associadas ao upload arbitrário de arquivos e à negação de serviço atribuídos a CVEs CVE-2023-20195, CVE-2023-20196e CVE-2023-20213.
A gravidade dessas vulnerabilidades varia entre 4.3 (Médio) e 4.7 (Médio).
Essas vulnerabilidades foram identificadas no Cisco Identity Services Engine, que é uma plataforma de política de controle de identidade e acesso que pode ser usada para reforçar a conformidade, aprimorar a segurança da infraestrutura e agilizar as operações de serviço.
No entanto, a Cisco divulgou um comunicado de segurança e patches para corrigir essas vulnerabilidades.
CVE-2023-20195 e CVE-2023-20196: Vulnerabilidades de upload de arquivos arbitrários do Cisco ISE
Um agente de ameaça autenticado pode aproveitar essas duas vulnerabilidades para fazer upload de arquivos arbitrários para um dispositivo afetado. No entanto, como pré-requisito, os agentes da ameaça devem ter credenciais de administrador válidas no dispositivo afetado.
Documento
Essas vulnerabilidades existem devido à validação inadequada de arquivos carregados na interface de gerenciamento baseada na web, que pode ser abusada ao carregar arquivos criados. A gravidade dessas vulnerabilidades foi dada como 4.7 (Médio).
CVE-2023-20213: Vulnerabilidade de negação de serviço do CDP do Cisco ISE
Esta vulnerabilidade existe no recurso de processamento CDP (Cisco Discovery Protocol) do Cisco ISE, que um agente de ameaça autenticado pode usar para causar uma condição de negação de serviço (DoS) do processo CDP.
O Cisco CDP é usado para verificar qual porta Cisco está conectada a um determinado vSwitch junto com as propriedades do switch Cisco, como a versão do software e o ID do dispositivo. A gravidade desta vulnerabilidade foi dada como 4.3 (Médio).
Produtos afetados
| Lançamento do Cisco ISE | Primeira versão fixa para CVE-2023-20195e CVE-2023-20196 | Primeira versão fixa para CVE-2023-20213 |
| 2.6 e antes | Migre para uma versão fixa. | Migre para uma versão fixa. |
| 2.7 | 2.7P10 | 2.7P10 |
| 3 | 3.0P8 | 3.0P7 |
| 3.1 | 3.1P8 (novembro de 2023) | 3.1P6 |
| 3.2 | 3.2P3 | 3.2P2 |
| 3.3 | Não vulnerável. | Não vulnerável. |
É recomendado que os usuários desses produtos atualizem para versões corrigidas para evitar que essas vulnerabilidades sejam exploradas.
