Katalog CVE

CVE-2026-20193

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.23%

Percentyl 14 - wyżej niż 14% wszystkich znanych CVE

Streszczenie

Podatność w interfejsach API polityki RADIUS w Cisco ISE umożliwia uwierzytelnionemu, zdalnemu atakującemu z uprawnieniami administratora tylko do odczytu uzyskanie nieautoryzowanego dostępu do wrażliwych informacji. Problem wynika z nieprawidłowych uprawnień kontroli dostępu opartej na rolach (RBAC) w tych interfejsach API.

Ocena ryzyka

Organizacja narażona jest na wyciek poufnych szczegółów polityki RADIUS, które mogą być wykorzystane do dalszych ataków lub naruszenia bezpieczeństwa sieci. Atakujący może ominąć interfejs zarządzania i bezpośrednio wywołać podatny endpoint.

Rekomendacja

Należy niezwłocznie zastosować aktualizację Cisco ISE do wersji zawierającej poprawkę oraz przejrzeć i dostosować uprawnienia RBAC dla kont administratorów tylko do odczytu.

Oryginalny opis (angielski, źródło NVD)

A vulnerability in the RADIUS Policy API endpoints of Cisco ISE could allow an authenticated, remote attacker with read-only Administrator privileges to gain unauthorized access to sensitive information on an affected device. This vulnerability is due to improper role-based access control (RBAC) permissions on the RADIUS Policy API endpoints. An attacker could exploit this vulnerability by bypassing the web-based management interface and directly calling an affected endpoint. A successful exploit could allow the attacker to gain unauthorized read access to sensitive RADIUS Policy details that are restricted for their role.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS