Cisco patcher fire kritiske sårbarheter i Identity Services og Webex som muliggjør RCE og brukerimitasjon.
Cisco patcher fire kritiske sårbarheter i Identity Services og Webex som muliggjør RCE og brukerimitasjon
Cisco har publisert sikkerhetsoppdateringer for fire kritiske sårbarheter i Identity Services Engine (ISE), ISE-PIC og Webex som kan føre til fjernkjøring av kode, kommandoeksekvering og brukerimitasjon. De mest alvorlige feilene (CVSS opptil 9.9) skyldes utilstrekkelig validering av brukerinput og svak sertifikatvalidering i SSO-integrasjon. Dette kan gjøre det mulig for angripere med gyldige eller til og med uten autentisering i enkelte tilfeller å kjøre vilkårlige kommandoer, eskalere privilegier til root eller utgi seg for legitime brukere i Webex. I enkelte scenarioer kan også DoS oppstå ved at ISE-noder blir utilgjengelige. Cisco opplyser at det ikke er observert aktiv utnyttelse, men anbefaler rask oppdatering.
Oppdater til siste tilgjengelige versjoner av Cisco ISE og ISE-PIC i henhold til anbefalte patch-nivåer. For Webex SSO-brukere anbefales det å laste opp nytt SAML-sertifikat i Control Hub.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.