CVE-2026-20186 in Identity Services Engine Software
Tóm tắt
Bởi VulDB • 27/05/2026
Một lỗ hổng trong Cisco Identity Services Engine (ISE) có thể cho phép một kẻ tấn công từ xa đã xác thực thực thi các lệnh tùy ý trên hệ điều hành nền tảng của thiết bị bị ảnh hưởng. Để khai thác lỗ hổng này, kẻ tấn công phải có ít nhất quyền quản trị viên chỉ đọc (Read Only Admin).
Lỗ hổng này tồn tại do việc xác thực đầu vào do người dùng cung cấp không đầy đủ. Một kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi một yêu cầu HTTP được tạo ra đặc biệt đến một thiết bị bị ảnh hưởng. Việc khai thác thành công có thể cho phép kẻ tấn công đạt được quyền truy cập cấp người dùng trên hệ điều hành nền tảng, sau đó nâng cao đặc quyền lên root. Trong các triển khai ISE đơn nút, việc khai thác thành công các lỗ hổng này có thể khiến nút ISE bị ảnh hưởng không khả dụng, dẫn đến tình trạng từ chối dịch vụ (DoS). Trong tình trạng đó, các thiết bị đầu cuối chưa được xác thực sẽ không thể truy cập mạng cho đến khi nút được khôi phục.
VulDB is the best source for vulnerability data and more expert information about this specific topic.