Les vulnérabilités de Cisco Identity Services Engine requièrent votre attention (CVE-2022-20822, CVE-2022-20959)

Cisco a publié une mise en garde à l’intention des administrateurs des solutions Cisco Identity Services Engine, concernant deux vulnérabilités qui pourraient être exploitées pour lire et supprimer des fichiers sur un appareil affecté, et pour exécuter un script arbitraire ou accéder à des informations sensibles.

Cisco Identity Services est une plateforme de gestion des politiques et de contrôle d’accès pour les appareils sur les réseaux et constitue un élément crucial de l’architecture zéro confiance d’une organisation.

CVE-2022-20822 est une vulnérabilité de traversée de chemin dans l’interface de gestion basée sur le web de Cisco ISE qui pourrait être exploitée par un attaquant distant authentifié.

« Un attaquant pourrait exploiter cette vulnérabilité en envoyant une requête HTTP élaborée contenant certaines séquences de caractères à un système affecté. Une exploitation réussie pourrait permettre à l’attaquant de lire ou de supprimer des fichiers spécifiques sur l’appareil auxquels son niveau d’administration configuré ne devrait pas avoir accès », explique Cisco.

CVE-2022-20959 est une vulnérabilité cross-site scripting dans l’API External RESTful Services de Cisco ISE. « Un attaquant pourrait exploiter cette vulnérabilité en persuadant un administrateur authentifié de l’interface de gestion basée sur le web de cliquer sur un lien malveillant. Une exploitation réussie pourrait permettre à l’attaquant d’exécuter un code script arbitraire dans le contexte de l’interface affectée ou d’accéder à des informations sensibles basées sur le navigateur. »

Des correctifs sont disponibles sur demande, et Cisco les offre aux parties intéressées après qu’elles aient pris contact avec le centre d’assistance technique de Cisco.

Partager cet article sur les médias sociaux :

Abonnez-vous à Notre Infolettre !

Restez au fait des risques de cybersécurité, de l’évolution des menaces et de l’actualité du secteur.

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Dernières Nouvelles

Services en Vedette

Actualités Concernant la Cybersécurité

Qu’il s’agisse de cyberattaques majeures, de vulnérabilités critiques récemment découvertes ou de bonnes pratiques recommandées, lisez d’abord ici :

BOOK A MEETING

Enter your Email Address

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* No free email provider (e.g: gmail.com, hotmail.com, etc.)

PLANIFIER UNE RENCONTRE

Saisissez Votre Adresse Courriel

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* Pas de fournisseur de courrier électronique gratuit (par exemple : gmail.com, hotmail.com, etc.)

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.