云安全日报210812：思科身份服务引擎发现跨站脚本攻击漏洞，需要尽快升级

Cisco Identity Services Engine（ISE)是思科（Cisco）公司的一款基于身份的环境感知平台（ISE身份服务引擎）。该平台通过收集网络、用户和设备中的实时信息，制定并实施相应策略来监管网络。Cisco ISE能够洞察网络受到的一切攻击，并可以减轻复杂访问管理的压力。

8月11日,思科公司发布了安全更新，修复了Cisco ISE身份服务引擎中发现的跨站脚本攻击等重要漏洞。以下是漏洞详情：

漏洞详情

来源：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-stored-xss-TWwjVPdL

CVE-2021-1603、CVE-2021-1604、CVE-2021-1605、CVE-2021-1606、CVE-2021-1607 CVSS评分： 4.8 中

思科身份服务引擎 (ISE) 基于 Web 的管理界面中的多个漏洞可能允许经过身份验证的远程攻击者对用户进行存储跨站点脚本 (XSS) 攻击。

这些漏洞的存在是因为基于 Web 的管理界面没有充分验证用户提供的输入。攻击者可以通过将恶意代码注入界面的特定页面来利用这些漏洞。成功的利用可能允许攻击者在受影响界面的上下文中执行任意脚本代码或访问敏感的、基于浏览器的信息。要利用这些漏洞，攻击者需要有效的管理凭据。

受影响产品

在发布时，这些漏洞影响的 Cisco ISE 版本早于以下版本：

2.6 补丁 9

2.7 补丁 4

3.0 补丁 3

解决方案

在发布时，以下 Cisco ISE 版本包含针对这些漏洞的修复：

2.6 补丁 9 及更高版本

2.7 补丁 4 及更高版本

3.0 补丁 3 及更高版本

查看更多漏洞信息 以及升级请访问官网：

https://tools.cisco.com/security/center/publicationListing.x