云安全日报220714：思科身份服务引擎发现身份验证绕过漏洞，需要尽快升

思科身份服务引擎是思科基于身份的环境感知平台该平台收集网络，用户和设备的实时信息，并制定和实施相应的策略来监管网络Cisco ISE可以洞察网络上的所有攻击，减轻复杂访问管理的压力

日前，思科发布了一个安全更新，修复了在思科ISE engine中发现的认证旁路漏洞。以下是该漏洞的详细信息:

漏洞详细信息

CVE—2022—20733 CVSS评分:5.3严重程度:中度

Cisco Identity Service Engine的登录页面中存在一个漏洞，使得未经验证的远程攻击者能够在没有凭据的情况下登录，并不受任何限制地访问所有角色。

该漏洞是由于暴露敏感的安全声明标记语言元数据造成的攻击者可以通过使用暴露的SAML元数据绕过用户门户的身份验证来利用此漏洞成功利用可让攻击者无限制地访问所有角色

受影响的产品

思科ise版本3.1

解决办法

Cisco ISE版本3.1升级3.1补丁3可以修复