Vulnérabilité de falsification de requête intersite de l'engine de services d'identité Cisco

Une vulnérabilité dans l'interface de gestion web de Cisco Identity Services Engine (ISE) pourrait permettre à un attaquant non authentifié et distant de lancer une attaque de type Cross-Site Request Forgery (CSRF) et d'effectuer des actions arbitraires sur un appareil affecté. Cette vulnérabilité est due à des protections CSRF insuffisantes pour l'interface de gestion web d'un appareil affecté. Un attaquant pourrait exploiter cette vulnérabilité en persuadant un utilisateur de l'interface de suivre un lien élaboré. Un exploit réussi pourrait permettre à l'attaquant d'effectuer des actions arbitraires sur l'appareil affecté avec les privilèges de l'utilisateur ciblé. Cisco a publié des mises à jour logicielles qui corrigent cette vulnérabilité. Il n'y a pas de solutions de contournement qui traitent de cette vulnérabilité. Ce conseil de sécurité est disponible au lien suivant : https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-csrf-y4ZUz5Rj Évaluation de l'impact de sécurité : Moyen CVE : CVE-2024-20486