Informazioni sul CVE-2024-20476
Cisco Identity Services Engine Authorization Bypass Vulnerability
CWE ID: CWE-602
Base Score (CVSS): N/A
CVE: CVE-2024-20476
Descrizione: Una vulnerabilità nell’interfaccia di gestione web di Cisco ISE potrebbe consentire a un attaccante autenticato e remoto di aggirare le meccanismi di autorizzazione per specifiche funzioni di gestione file. Questa vulnerabilità è dovuta alla mancanza di validazione lato server delle autorizzazioni dell’amministratore. Un attaccante potrebbe sfruttare questa vulnerabilità inviando una richiesta HTTP craftata a un sistema compromesso. Un’exploit riuscito potrebbe consentire all’attaccante di caricare file in una posizione che dovrebbe essere protetta. Per sfruttare questa vulnerabilità, un attaccante avrebbe bisogno di credenziali di lettura “readonly” dell’amministratore.
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: Low, Interazione utente: None, Confidenzialità: None, Integrità: Low, Disponibilità: None.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | L | Low | Richiede pochi privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | N | None | Nessun impatto sulla riservatezza. |
| Integrity Impact (I) | L | Low | Impatto limitato. |
| Availability Impact (A) | N | None | Nessun impatto sulla disponibilità. |
Riferimenti esterni
Prodotti interessati
- Cisco – Cisco Identity Services Engine Software
Relazioni con altri prodotti
Produttore:Cisco
Prodotto: Cisco Identity Services Engine Software
Anno: 2024
CWE: CWE-602
CVSS: 0.0