Множественные уязвимости в веб-интерфейсе управления Cisco Identity Services Engine (ISE) могут позволить аутентифицированному удаленному злоумышленнику с административными правами записи провести атаку с использованием хранимых межсайтовых сценариев (XSS) или отраженную XSS-атаку против пользователя веб-интерфейса управления затронутого устройства. Эти уязвимости связаны с недостаточной очисткой предоставленных пользователем данных, хранящихся на веб-странице. Злоумышленник может воспользоваться этими уязвимостями, убедив пользователя интерфейса щелкнуть определенную ссылку или просмотреть уязвимую веб-страницу.
Внедренный код сценария может быть выполнен в контексте веб-интерфейса управления или позволить злоумышленнику получить доступ к конфиденциальной информации в браузере.
Показать оригинальное описание (EN)
Multiple vulnerabilities in the web-based management interface of Cisco Identity Services Engine (ISE) could allow an authenticated, remote attacker with administrative write privileges to conduct a stored cross-site scripting (XSS) attack or a reflected XSS attack against a user of the web-based management interface of an affected device. These vulnerabilities are due to insufficient sanitization of user-supplied data that is stored in the web page. An attacker could exploit these vulnerabilities by convincing a user of the interface to click a specific link or view an affected web page. The injected script code may be executed in the context of the web-based management interface or allow the attacker to access sensitive browser-based information.
Характеристики атаки
Последствия
Строка CVSS v3.1