Vulnérabilité de falsification de requête côté serveur dans Cisco Identity Services Engine

Une vulnérabilité dans l'interface de gestion web de Cisco Identity Services Engine (ISE) pourrait permettre à un attaquant distant authentifié de lancer une attaque de falsification de requête côté serveur (SSRF) via un appareil affecté. Cette vulnérabilité est due à une validation d'entrée incorrecte pour des requêtes HTTP spécifiques. Un attaquant pourrait exploiter cette vulnérabilité en envoyant une requête HTTP conçue à un appareil affecté. Une exploitation réussie pourrait permettre à l'attaquant d'envoyer des requêtes réseau arbitraires qui proviennent de l'appareil affecté. Pour exploiter avec succès cette vulnérabilité, l'attaquant aurait besoin de credenciaux Super Admin valides. Cisco a publié des mises à jour logicielles qui corrigent cette vulnérabilité. Il n'y a pas de solutions de contournement qui traitent cette vulnérabilité. Cette annonce est disponible à l'adresse suivante : https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-ssrf-FtSTh5Oz Évaluation de l'impact sur la sécurité : Moyen CVE : CVE-2024-20332