Уязвимость серверной стороны запросов в Cisco Identity Services Engine

Уязвимость в веб-интерфейсе управления Cisco Identity Services Engine (ISE) позволяет удаленному атакующему, имеющему аутентификацию, проводить атаку серверной стороны запросов (SSRF) на устройстве. Это уязвимость возникает из-за неправильной валидации ввода для определенных запросов HTTP. Атакующий может эксплуатировать эту уязвимость, отправляя специально созданный запрос HTTP на устройство. Удачная эксплуатация позволяет атакующему отправлять произвольные запросы в сеть, источником которых является устройство. Чтобы успешно эксплуатировать эту уязвимость, атакующему необходимо иметь действующие учетные данные Super Admin. Cisco выпустила обновления программного обеспечения, которые устраняют эту уязвимость. Нет обходов, которые бы устраняли эту уязвимость. Это уведомление доступно по следующей ссылке: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-ssrf-FtSTh5Oz Оценка воздействия на безопасность: Средняя CVE: CVE-2024-20332