Vulnérabilité de falsification de requête intersite de l'engine de services d'identité Cisco

Une vulnérabilité dans l'interface de gestion web de Cisco Identity Services Engine (ISE) pourrait permettre à un attaquant non authentifié et distant de lancer une attaque de type Cross-Site Request Forgery (CSRF) et d'effectuer des actions arbitraires sur un appareil affecté. Cette vulnérabilité est due à des protections CSRF insuffisantes pour l'interface de gestion web d'un appareil affecté. Un attaquant pourrait exploiter cette vulnérabilité en persuadant un utilisateur de l'interface de suivre un lien conçu à cette fin. Un exploit réussi pourrait permettre à l'attaquant d'effectuer des actions arbitraires sur l'appareil affecté avec les privilèges de l'utilisateur ciblé. Cisco a publié des mises à jour logicielles qui corrigent cette vulnérabilité. Il n'y a pas de solutions de contournement qui traitent de cette vulnérabilité. Ce rapport est disponible au lien suivant : https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-csrf-NfAKXrp5 Évaluation de l'impact de sécurité : Moyen CVE : CVE-2024-20368