支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2026-20076 基础信息
漏洞信息
                                        # 思科ISE 存储型XSS漏洞

## 概述
Cisco Identity Services Engine (ISE) 的基于Web的管理界面存在存储型跨站脚本(XSS)漏洞,经认证的远程攻击者可利用此漏洞对界面用户实施攻击。

## 影响版本
受影响系统为存在该漏洞的Cisco ISE版本(具体版本未提及,需参考官方公告)。

## 细节
该漏洞源于系统Web管理界面未对用户输入进行充分验证。攻击者可通过向界面特定页面注入恶意代码来利用此漏洞。成功利用需攻击者具备有效的管理员凭据。

## 影响
成功利用该漏洞可使攻击者在受影响界面的上下文中执行任意脚本代码,或窃取敏感的浏览器端信息。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Cisco Identity Services Engine Stored Cross-Site Scripting Vulnerability
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability in the web-based management interface of Cisco Identity Services Engine (ISE) could allow an authenticated, remote attacker to conduct a stored cross-site scripting (XSS) attack against a user of the interface. This vulnerability is due to insufficient validation of user-supplied input by the web-based management interface of an affected system. An attacker could exploit this vulnerability by injecting malicious code into specific pages of the interface. A successful exploit could allow the attacker to execute arbitrary script code in the context of the affected interface or access sensitive, browser-based information. To exploit this vulnerability, the attacker must have valid administrative credentials.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
Cisco Identity Services Engine 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Cisco Identity Services Engine(Cisco ISE)是美国思科(Cisco)公司的一款环境感知平台(ISE身份服务引擎)。该平台通过收集网络、用户和设备中的实时信息,制定并实施相应策略来监管网络。 Cisco Identity Services Engine(Cisco ISE)存在跨站脚本漏洞,该漏洞源于基于Web的管理界面输入验证不足,可能导致经过身份验证的远程攻击者进行存储型跨站脚本攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2026-20076 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2026-20076 的情报信息

  • 标题: Cisco Identity Services Engine Stored Cross-Site Scripting Vulnerability -- 🔗来源链接

    标签:

    神龙速读:
                                            ### 关键漏洞信息

- **漏洞描述**: 
  - `Cisco Identity Services Engine Stored Cross-Site Scripting Vulnerability`
  - 该漏洞可能允许经过身份验证的远程攻击者在受影响接口的上下文中执行任意脚本代码或访问敏感的浏览器信息。

- **漏洞ID**: 
  - `cisco-sa-ise-xss-9TDh2kx`
  - `CVE-2026-20076`
  - `CWE-79`

- **CVSS评分**: 
  - `Base 4.8`

- **影响产品**: 
  - `Cisco ISE`

- **漏洞发现来源**: 
  - 在解决Cisco技术支持中心(TAC)支持案例期间发现。

- **漏洞修复建议**: 
  - Cisco强烈建议客户升级到此顾问中指示的固定软件版本。
  - `Fixed Releases`:
    - 3.1及更早版本: 迁移到固定的释放。
    - 3.2: 3.2 Patch 8
    - 3.3: 3.3 Patch 5
    - 3.4: 3.4 Patch 1
    - 3.5: 不易受攻击。

- **发布时间**: 
  - `2026-01-15`

- **网站链接**:
  - `https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-xss-9TDh2kx`
    Cisco Identity Services Engine Stored Cross-Site Scripting Vulnerability
  • https://nvd.nist.gov/vuln/detail/CVE-2026-20076
四、漏洞 CVE-2026-20076 的评论

暂无评论

发表评论