Cisco Identity Services Engine Log Guardado Script de Site Cruzado
| CVSS Meta Pontuação Temporária | Preço atual do exploit (≈) | Nota de Interesse CTI |
|---|---|---|
| 5.8 | $0-$5k | 0.00 |
Sumário
Uma vulnerabilidade, que foi classificada como problemático, foi encontrada em Cisco Identity Services Engine. O elemento afetado é uma função não identificada no componente Log Handler. A manipulação com uma entrada desconhecida leva a Script de Site Cruzado. Esta vulnerabilidade é identificada como CVE-2020-3156. O ataque pode ser levado a cabo através da rede. Não existe nenhum exploit disponível. Recomenda-se a atualização do componente afetado.
Detalhes
Uma vulnerabilidade, que foi classificada como problemático, foi encontrada em Cisco Identity Services Engine. O elemento afetado é uma função não identificada no componente Log Handler. A manipulação com uma entrada desconhecida leva a Script de Site Cruzado. Usar a CWE para declarar o problema leva à CWE-79. A fraqueza foi publicada 19/02/2020 por Max Moser and Katharina Maennle como cisco-sa-ise-xss-s3ekcKch como Aconselhamento (Site). O comunicado foi disponibilizado para download em tools.cisco.com. A divulgação pública foi coordenada com o vendedor.
Esta vulnerabilidade é identificada como CVE-2020-3156. A atribuição do identificador CVE aconteceu em 12/12/2019. O ataque pode ser levado a cabo através da rede. Nenhuma informação técnica disponível. Esta vulnerabilidade apresenta popularidade inferior à média. Não existe nenhum exploit disponível. No momento, o preço atual de um exploit pode estar em torno de USD $0-$5k atualmente. O projeto MITRE ATT&CK declara a técnica de ataque como T1059.007.
É declarado como não definido. Como 0-day, o valor estimado no submundo era aproximadamente $5k-$25k.
Recomenda-se a atualização do componente afetado.
Produto
Tipo
Fabricante
Nome
Licença
Site
- Fabricante: https://www.cisco.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vetor: 🔍VulDB Fiabilidade: 🔍
CVSSv3
VulDB Meta Pontuação Base: 5.8VulDB Meta Pontuação Temporária: 5.8
VulDB Pontuação Base: 5.3
VulDB Pontuação Temporária: 5.1
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 6.1
NVD Vetor: 🔍
CNA Pontuação Base: 6.1
CNA Vetor (Cisco Systems, Inc.): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 🔍
Exploração
Nome: StoredClasse: Script de Site Cruzado / Stored
CWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍
Físico: Não
Local: Não
Remoto: Sim
Disponibilidade: 🔍
Estado: Não definido
EPSS Score: 🔍
EPSS Percentile: 🔍
Tendência de preços: 🔍
Estimativa de preço atual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligência de ameaças
Interesse: 🔍Atores ativos: 🔍
Grupos APT ativos: 🔍
Contramedidas
Recomendação: AtualizaçãoEstado: 🔍
Tempo 0-dia: 🔍
Linha do tempo
12/12/2019 🔍19/02/2020 🔍
20/02/2020 🔍
01/04/2024 🔍
Fontes
Fabricante: cisco.comAconselhamento: cisco-sa-ise-xss-s3ekcKch
Pessoa: Max Moser, Katharina Maennle
Estado: Confirmado
Coordenado: 🔍
CVE: CVE-2020-3156 (🔍)
GCVE (CVE): GCVE-0-2020-3156
GCVE (VulDB): GCVE-100-150363
Vários: 🔍
Entrada
Criado: 20/02/2020 07h07Atualizado: 01/04/2024 15h33
Ajustamentos: 20/02/2020 07h07 (44), 10/08/2020 10h43 (13), 01/04/2024 15h33 (34)
Completo: 🔍
Submissor: misc
Cache ID: 216::103
Submeter
Aceite
- Submeter #156: Unauthenticated persistent cross-site scripting injection into the administrative console of CISCO ISE web application via DHCP request (de misc)
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Ainda sem comentários. Idiomas: pt + es + en.
Por favor, inicie sessão para comentar.