Cisco meldet eine Sicherheitslücke in der webbasierten Verwaltungsschnittstelle der Cisco Identity Services Engine (ISE). Über die könnten authentifizierten Angreifer aus der Ferne Dateien auf einem betroffenen Gerät lesen und löschen, warnt Cisco. Bislang gibt es keine Patches gegen das Problem.

Laut Ciscos Warnmeldung entsteht die Sicherheitslücke über eine unzureichende Validierung der Benutzereingaben. Ein Angreifer könnte die Lücke ausnutzen, indem er eine manipulierte HTTP-Anfrage, die bestimmte Zeichenfolgen enthält, an ein betroffenes System sendet, teilt Cisco mit. Ein erfolgreicher Angriff könnte es dem Angreifer dann ermöglichen, bestimmte Dateien auf dem Gerät zu lesen oder zu löschen, auf die er über seine konfigurierte Administrationsebene keinen Zugriff haben sollte.

Betroffen sind die ISE-Versionen 3.1 und 3.2. Ältere Ausgaben sind nicht betroffen. Es gibt für das Problem keinen Workaround. In der Version 3.1P5, die im November erscheinen soll, sei die Lücke dann geschlossen, schreibt Cisco. Gleiches gilt für die Version 3.2P1, die für Januar 2023 geplant ist.

Cisco sei sich bewusst, dass Proof-of-Concept-Exploit-Code für die in der Mitteilung beschriebene Schwachstelle nach der Veröffentlichung von Software-Fixes verfügbar werde, heißt es weiter. Addmins sollten die Aktualisierungen also sofort nach Erscheinen einspielen.

Der Beitrag Sicherheitslücke in Cisco Identity Services Engine erschien zuerst auf Linux-Magazin.