Cisco Identity Services Engine(ISE)是思科(Cisco)公司的一款基于身份的环境感知平台(ISE身份服务引擎)。该平台通过收集网络、用户和设备中的实时信息,制定并实施相应策略来监管网络。Cisco ISE能够洞察网络受到的一切攻击,并可以减轻复杂访问管理的压力。
7月13日,思科公司发布了安全更新,修复了Cisco ISE引擎中发现的身份验证绕过漏洞。以下是漏洞详情:
漏洞详情
来源:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ISE-SAML-nuukMPf9
CVE-2022-20733 CVSS评分: 5.3 严重程度:中等
思科身份服务引擎 (ISE) 登录页面中的漏洞可能允许未经身份验证的远程攻击者在没有凭据的情况下登录并不受任何限制地访问所有角色。
此漏洞是由于暴露了敏感的安全断言标记语言 (SAML) 元数据。攻击者可以通过使用暴露的 SAML 元数据绕过对用户门户的身份验证来利用此漏洞。成功的利用可以让攻击者不受任何限制地访问所有角色。
受影响产品
Cisco ISE 3.1版本
解决方案
Cisco ISE 3.1版本升级3.1补丁3可修复
查看更多漏洞信息 以及升级请访问官网:
https://tools.cisco.com/security/center/publicationListing.x