Vulnerabilidad en Cisco Identity Services Engine (CVE-2024-20332)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-918
Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
03/04/2024
Última modificación:
08/04/2025
Descripción
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Identity Services Engine (ISE) podría permitir que un atacante remoto autenticado lleve a cabo un ataque de server-side request forgery (SSRF) a través de un dispositivo afectado. Esta vulnerabilidad se debe a una validación de entrada incorrecta para solicitudes HTTP específicas. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud HTTP manipulada a un dispositivo afectado. Un exploit exitoso podría permitir al atacante enviar solicitudes de red arbitrarias provenientes del dispositivo afectado. Para explotar con éxito esta vulnerabilidad, el atacante necesitaría credenciales de superadministrador válidas.
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:identity_services_engine:3.2.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:identity_services_engine:3.2.0:patch1:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:identity_services_engine:3.2.0:patch2:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:identity_services_engine:3.2.0:patch3:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:identity_services_engine:3.2.0:patch4:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:identity_services_engine:3.3.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:identity_services_engine:3.3.0:patch1:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página