一、 漏洞 CVE-2024-20528 基础信息
漏洞标题
思科身份服务引擎路径遍历漏洞
来源:AIGC 神龙大模型
漏洞描述信息
在Cisco ISE的API中存在一个漏洞,可能允许经过身份验证的远程攻击者将文件上传到受影响设备基础操作系统上的任意位置。要利用此漏洞,攻击者需要拥有有效的超级管理员凭据。 此漏洞是由于API请求中对用户提供的参数验证不足所致。攻击者可以通过向受影响设备发送特制的API请求来利用此漏洞。成功的利用可能会让攻击者将自定义文件上传到基础操作系统上的任意位置,执行任意代码并提升权限至root。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
危险类型文件的不加限制上传
来源:AIGC 神龙大模型
漏洞标题
Cisco Identity Services Engine Path Traversal Vulnerability
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability in the API of Cisco ISE could allow an authenticated, remote attacker to upload files to arbitrary locations on the underlying operating system of an affected device. To exploit this vulnerability, an attacker would need valid Super Admin credentials. This vulnerability is due to insufficient validation of user-supplied parameters in API requests. An attacker could exploit this vulnerability by sending a crafted API request to an affected device. A successful exploit could allow the attacker to upload custom files to arbitrary locations on the underlying operating system, execute arbitrary code, and elevate privileges to root.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:美国国家漏洞数据库 NVD
漏洞标题
Cisco Identity Services Engine 路径遍历漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Cisco Identity Services Engine(Cisco ISE)是美国思科(Cisco)公司的一款环境感知平台(ISE身份服务引擎)。该平台通过收集网络、用户和设备中的实时信息,制定并实施相应策略来监管网络。 Cisco Identity Services Engine存在路径遍历漏洞,该漏洞源于API请求中对用户提供的参数验证不足。远程攻击者对基于Web的管理界面的用户发起跨站脚本(XSS)攻击、执行路径遍历攻击、读取和删除受影响设备上的任意文件,或通过设备发起服务器端请求伪造(SSR
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
路径遍历
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-20528 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-20528 的情报信息