-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheden verholpen in Cisco Identity Services Engine (ISE) Advisory ID : NCSC-2021-0919 Versie : 1.00 Kans : medium CVE ID : CVE-2021-34738, CVE-2021-40121, CVE-2021-40123 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high Cross-Site Scripting (XSS) Toegang tot gevoelige gegevens Uitgiftedatum : 20211021 Toepassing : Cisco Identity Services Engine (ISE) Versie(s) : Platform(s) : Beschrijving Er is een kwetsbaarheid verholpen in Cisco Identity Services Engine (ISE). De kwetsbaarheid stelt een ongeauthenticeerde kwaadwillende in gelegenheid willekeurige code uit te voeren onder rechten van de applicatie. De kwaadwillende moet hiertoe het slachtoffer verleiden een malafide bestand te uploaden in de browser versie van de management-interface. Voor het verkrijgen van gevoelige gegevens door middel van een Cross-Site Scripting (XSS) aanval moet de kwaadwillende geauthenticeerd zijn voor gebruik van de management interface. Het is goed gebruik een dergelijke interface niet publiek toegankelijk te hebben. Mogelijke oplossingen Cisco heeft updates uitgebracht om de kwetsbaarheden te verhelpen in Identity Services Engine. Voor meer informatie, zie: https://tools.cisco.com/security/center/content /CiscoSecurityAdvisory/cisco-sa-ise-xss1-rgxYry2V https://tools.cisco.com/security/center/content /CiscoSecurityAdvisory/cisco-sa-ise-file-download-B3BR5KQA Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- Version: Encryption Desktop 10.4.2 (Build 1298) Charset: utf-8 wsDVAwUBYXFpJOEs56R4sCd0AQpJ2gv/YYYx8mM5vqfYlLHcI1ksdm7yP2TiPl6W G3ZQL5La84k2gi0opljuBjyS7hWicgxhIVGAy9kfLL5J/08mk9isxRCxw78KgzCW h4iD4jnfRwNxu4IGooxg9v+SpOEkcf6MR+yjwBbZkJntXMtiD+zcLTlO2i7OBak8 c/0k+efU2rINCr6KNX7PpdzjbA+oaPOTTt+8OiNi82MFdvi12DLALkWo+yBeBdgU MEzjQ8frgDZoscqVXGedwUj35hnDzMkv86Xqp7fhyHNxjLtO8CsaK3zsuH2mQ8aF +dz+L+XRbSEtesMKsy+hxcSEeAjQm1mDLeIor7rmIX4eOLW72Zr92juKDEIChqrB PWv7xNqP+zM7lOSMtv3bsF4yYTlvg1TGJNzQsBb3IMWOdrZPF0+K02ecdhIg2AzX wovFYGSTKIjHSZ/y69+LwOdXliRApqJlNtr8y7AhnmNZWknATsTBTxQ/hamlHRBd Uh8jXsMXlN2iG6K4oK3A/RdVYRby713s =L/4R -----END PGP SIGNATURE-----