思科發布安全更新修復思科ISE身份服務引擎中發現的跨站點腳本攻擊等重要漏

思科身份服務引擎是思科公司基于身份的環境感知平臺該平臺從網絡，用戶和設備收集實時信息，并制定和實施相應的政策來監督網絡思科ISE可以洞察網絡上的所有攻擊，緩解復雜的訪問管理壓力

日前，思科發布安全更新，修復思科ISE身份服務引擎中發現的跨站點腳本攻擊等重要漏洞。以下是該漏洞的詳細信息:

漏洞詳細信息

CVE—2021—1603，CVE—2021—1604，CVE—2021—1605，CVE—2021—1606和CVE—2021—1607 CVSS的CVS得分:4.8中等

思科身份服務引擎基于網絡的管理界面中的多個漏洞可能允許經過身份驗證的遠程攻擊者對用戶進行存儲跨站點腳本攻擊。

這些漏洞的存在是因為基于網絡的管理界面不能完全驗證用戶提供的輸入攻擊者可以通過將惡意代碼注入接口的特定頁面來利用這些漏洞成功利用該漏洞可能允許攻擊者在受影響的界面的上下文中執行任意腳本代碼或訪問敏感的基于瀏覽器的信息要利用這些漏洞，攻擊者需要有效的管理憑據

受影響的產品

在發布時，受這些漏洞影響的思科ISE版本早于以下版本:

2.6補丁9

2.7補丁4

3.0補丁3

解決辦法

在發布時，以下思科ISE版本包含對這些漏洞的修復:

2.6補丁9及更高版本

2.7補丁4及更高版本

3.0補丁3及更高版本

有關漏洞和升級的更多信息，請訪問官方網站: