一、 漏洞 CVE-2020-3525 基础信息
漏洞标题
Cisco Identity Services Engine 未经授权用户披露密码漏洞
来源:AIGC 神龙大模型
漏洞描述信息
在Cisco Identity Services Engine (ISE) 的管理门户中存在一个漏洞,该漏洞可能导致经过身份验证的远程攻击者恢复保存在受影响系统上的服务账户密码。
该漏洞是由于在加载管理门户中的配置页面时,错误地包含了保存的密码。具有读取或写入管理门户访问权限的攻击者可以通过浏览包含敏感数据的页面来利用此漏洞。成功的利用可能会让攻击者恢复密码,并使这些账户进一步遭受攻击。
Cisco 已发布了软件更新来解决此漏洞。目前没有解决此漏洞的替代方法。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
不充分的凭证保护机制
来源:AIGC 神龙大模型
漏洞标题
Cisco Identity Services Engine Password Disclosure to an Unauthorized Actor Vulnerability
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability in the Admin portal of Cisco Identity Services Engine (ISE) could allow an authenticated, remote attacker to recover service account passwords that are saved on an affected system.
The vulnerability is due to the incorrect inclusion of saved passwords when loading configuration pages in the Admin portal. An attacker with read or write access to the Admin portal could exploit this vulnerability by browsing to a page that contains sensitive data. A successful exploit could allow the attacker to recover passwords and expose those accounts to further attack.Cisco has released software updates that address this vulnerability. There are no workarounds that address this vulnerability.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
信息暴露
来源:美国国家漏洞数据库 NVD
漏洞标题
Cisco Identity Services Engine 信息泄露漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Cisco Identity Services Engine(ISE)是美国思科(Cisco)公司的一款基于身份的环境感知平台(ISE身份服务引擎)。该平台通过收集网络、用户和设备中的实时信息,制定并实施相应策略来监管网络。 Cisco?Identity Services Engine (ISE) 2.7p2之前版本中的Admin门户存在信息泄露漏洞,该漏洞源于程序没有正确地包含存储的密码。远程攻击者可利用该漏洞恢复服务账户密码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
信息泄露
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2020-3525 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
