CVE-2026-20193
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 14 - wyżej niż 14% wszystkich znanych CVE
Streszczenie
Podatność w interfejsach API polityki RADIUS w Cisco ISE umożliwia uwierzytelnionemu, zdalnemu atakującemu z uprawnieniami administratora tylko do odczytu uzyskanie nieautoryzowanego dostępu do wrażliwych informacji. Problem wynika z nieprawidłowych uprawnień kontroli dostępu opartej na rolach (RBAC) w tych interfejsach API.
Ocena ryzyka
Organizacja narażona jest na wyciek poufnych szczegółów polityki RADIUS, które mogą być wykorzystane do dalszych ataków lub naruszenia bezpieczeństwa sieci. Atakujący może ominąć interfejs zarządzania i bezpośrednio wywołać podatny endpoint.
Rekomendacja
Należy niezwłocznie zastosować aktualizację Cisco ISE do wersji zawierającej poprawkę oraz przejrzeć i dostosować uprawnienia RBAC dla kont administratorów tylko do odczytu.
Oryginalny opis (angielski, źródło NVD)
A vulnerability in the RADIUS Policy API endpoints of Cisco ISE could allow an authenticated, remote attacker with read-only Administrator privileges to gain unauthorized access to sensitive information on an affected device. This vulnerability is due to improper role-based access control (RBAC) permissions on the RADIUS Policy API endpoints. An attacker could exploit this vulnerability by bypassing the web-based management interface and directly calling an affected endpoint. A successful exploit could allow the attacker to gain unauthorized read access to sensitive RADIUS Policy details that are restricted for their role.

