Impatto Sistemico

Alto (72.94)

Sintesi

Aggiornamenti di sicurezza disponibili per una vulnerabilità in Cisco Identity Services Engine (ISE) e Cisco ISE Passive Identity Connector (ISE-PIC), soluzioni di identity‑based security che correlano utenti, dispositivi e traffico di rete per abilitare la definizione e l’enforcement diretto o indiretto di policy di sicurezza. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato, in possesso di credenziali amministrative valide, di leggere arbitrariamente file del sistema operativo sottostante, i quali potrebbero includere informazioni sensibili normalmente inaccessibili anche a utenze con privilegi amministrativi.

Tipologia

• Information Disclosure

Prodotti e/o versioni affette

Cisco ISE e ISE-PIC

• tutte le versioni precedenti alla 3.2
• 3.2.x, versioni precedenti alla 3.2 Patch 8
• 3.3.x, versioni precedenti alla 3.3 Patch 8
• 3.4.x, versioni precedenti alla 3.4 Patch 4

Azioni di mitigazione

Come indicato dal vendor, essendo presente un PoC pubblico, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.