시스코 아이덴티티 서비스 엔진 서버 측 요청 위조 취약점

시스코 아이덴티티 서비스 엔진(Cisco Identity Services Engine, ISE)의 웹 기반 관리 인터페이스에 취약점이 발견되었습니다. 이 취약점을 악용하면 인증된 원격 공격자가 영향을 받는 장치에서 서버 측 요청 위조(server-side request forgery, SSRF) 공격을 수행할 수 있습니다. 이 취약점은 특정 HTTP 요청에 대한 입력 유효성 검증이 제대로 수행되지 않아 발생합니다. 공격자는 영향을 받는 장치에 조작된 HTTP 요청을 보내서 이 취약점을 악용할 수 있습니다. 성공적인 공격은 공격자가 영향을 받는 장치에서 출발하는 임의의 네트워크 요청을 보낼 수 있도록 할 수 있습니다. 이 취약점을 성공적으로 악용하려면 공격자는 유효한 Super Admin 자격 증명이 필요합니다. 시스코는 이 취약점을 해결하는 소프트웨어 업데이트를 출시했습니다. 이 취약점을 해결하는 대안은 없습니다. 이 취약점에 대한 보안 권고는 다음 링크에서 확인할 수 있습니다: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-ssrf-FtSTh5Oz 보안 영향 등급: 중간 CVE: CVE-2024-20332