{ "document" : { "aggregate_severity" : { "text" : "mittel" }, "category" : "csaf_base", "csaf_version" : "2.0", "distribution" : { "tlp" : { "label" : "WHITE", "url" : "https://www.first.org/tlp/" } }, "lang" : "de-DE", "notes" : [ { "category" : "legal_disclaimer", "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen." }, { "category" : "description", "text" : "Die Cisco Identity Services Engine (ISE) bietet eine attributbasierte Zugangs-Kontroll-Lösung.", "title" : "Produktbeschreibung" }, { "category" : "summary", "text" : "Ein entfernter authentifizierter Angreifer kann eine Schwachstelle in der Cisco Identity Services Engine (ISE) ausnutzen, um seine Privilegien zu erhöhen oder beliebigen Code auszuführen.", "title" : "Angriff" }, { "category" : "general", "text" : "- Sonstiges", "title" : "Betroffene Betriebssysteme" } ], "publisher" : { "category" : "other", "contact_details" : "csaf-provider@cert-bund.de", "name" : "Bundesamt für Sicherheit in der Informationstechnik", "namespace" : "https://www.bsi.bund.de" }, "references" : [ { "category" : "self", "summary" : "WID-SEC-W-2024-1665 - CSAF Version", "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-1665.json" }, { "category" : "self", "summary" : "WID-SEC-2024-1665 - Portal Version", "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-1665" }, { "category" : "external", "summary" : "Cisco Security Advisory vom 2024-07-17", "url" : "https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-file-upload-krW2TxA9" } ], "source_lang" : "en-US", "title" : "Cisco Identity Services Engine (ISE): Schwachstelle ermöglicht Privilegienerweiterung und Codeausführung", "tracking" : { "current_release_date" : "2024-07-17T22:00:00.000+00:00", "generator" : { "date" : "2024-08-15T18:11:34.288+00:00", "engine" : { "name" : "BSI-WID", "version" : "1.3.5" } }, "id" : "WID-SEC-W-2024-1665", "initial_release_date" : "2024-07-17T22:00:00.000+00:00", "revision_history" : [ { "date" : "2024-07-17T22:00:00.000+00:00", "number" : "1", "summary" : "Initiale Fassung" } ], "status" : "final", "version" : "1" } }, "product_tree" : { "branches" : [ { "branches" : [ { "branches" : [ { "category" : "product_version_range", "name" : "<3.3P3", "product" : { "name" : "Cisco Identity Services Engine (ISE) <3.3P3", "product_id" : "T036318" } }, { "category" : "product_version_range", "name" : "<3.2P7", "product" : { "name" : "Cisco Identity Services Engine (ISE) <3.2P7", "product_id" : "T036319" } }, { "category" : "product_version_range", "name" : "<3.1P10", "product" : { "name" : "Cisco Identity Services Engine (ISE) <3.1P10", "product_id" : "T036320" } } ], "category" : "product_name", "name" : "Identity Services Engine (ISE)" } ], "category" : "vendor", "name" : "Cisco" } ] }, "vulnerabilities" : [ { "cve" : "CVE-2024-20296", "notes" : [ { "category" : "description", "text" : "Es besteht eine Schwachstelle in der webbasierten Management-Schnittstelle der Cisco Identity Services Engine (ISE) aufgrund einer unsachgemäßen Validierung von hochgeladenen Dateien, die es ermöglicht, bösartige Dateien auf dem System zu speichern. Durch das Hochladen beliebiger Dateien kann ein entfernter authentifizierter Angreifer diese Schwachstelle ausnutzen, um beliebige Dateien auszuführen und seine Privilegien zu erweitern." } ], "release_date" : "2024-07-17T22:00:00.000+00:00", "title" : "CVE-2024-20296" } ] }