1.     Cisco

ProduktCisco ISE
Numer CVECVE-2022-20956
Krytyczność7.1/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N
OpisTa luka jest spowodowana nieprawidłową kontrolą dostępu w internetowym interfejsie zarządzania urządzenia, którego dotyczy problem. Osoba atakująca może wykorzystać tę lukę, wysyłając spreparowane żądanie HTTP do urządzenia, którego dotyczy luka. Udany exploit może umożliwić atakującemu wyświetlenie, pobranie i usunięcie pewnych plików, do których nie powinien mieć dostępu.
  
AktualizacjaTAK
Linkhttps://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-access-contol-EeufSUCx
ProduktCisco ISE Software
Numer CVECVE-2022-20959
Krytyczność6.1/10
CVSSAV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
OpisLuka w interfejsie API zewnętrznych usług RESTful (ERS) oprogramowania Cisco Identity Services Engine (ISE) może umożliwić uwierzytelnionej, zdalnej osobie atakującej przeprowadzenie ataku XSS (cross-site scripting) na użytkownika interfejsu urządzenia, którego dotyczy luka. Ta luka jest spowodowana niewystarczającą walidacją danych wejściowych. Osoba atakująca może wykorzystać tę lukę, przekonując uwierzytelnionego administratora internetowego interfejsu zarządzania do kliknięcia złośliwego łącza. Udany exploit może umożliwić atakującemu wykonanie dowolnego kodu skryptu w kontekście zaatakowanego interfejsu lub uzyskanie dostępu do poufnych informacji w przeglądarce.
  
AktualizacjaTAK
Linkhttps://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-xss-twLnpy3M