Vulnérabilité de téléchargement de fichiers arbitraires dans Cisco Identity Services Engine

Une vulnérabilité dans l'API de Cisco Identity Services Engine (ISE) et Cisco ISE Passive Identity Connector (ISE-PIC) pourrait permettre à un attaquant distant authentifié, disposant de privilèges d'administrateur, de télécharger des fichiers sur un appareil affecté. Cette vulnérabilité est due à une validation incorrecte de la fonction de copie de fichiers. Un attaquant pourrait exploiter cette vulnérabilité en envoyant une requête de téléchargement de fichier falsifiée à un point d'extrémité API spécifique. Une exploitation réussie pourrait permettre à l'attaquant de télécharger des fichiers arbitraires sur un système affecté. Cisco a publié des mises à jour logicielles qui corrigent cette vulnérabilité. Il n'existe aucune solution de contournement pour cette vulnérabilité. Cet avis est disponible à l'adresse suivante : https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-file-upload-P4M8vwXY Niveau d'impact sur la sécurité : Moyen CVE : CVE-2025-20130