CVE-2026-20195
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 19 - wyżej niż 19% wszystkich znanych CVE
Streszczenie
Podatność w punkcie końcowym API zarządzania tożsamością w Cisco ISE umożliwia nieuwierzytelnionemu, zdalnemu atakującemu enumerację prawidłowych kont użytkowników na urządzeniu. Błąd wynika z różnic w komunikatach błędów zwracanych przez API.
Ocena ryzyka
Atakujący może zebrać listę prawidłowych nazw użytkowników, co ułatwia przeprowadzenie ataków siłowych lub socjotechnicznych na system.
Rekomendacja
Zaleca się natychmiastowe zastosowanie poprawek dostarczonych przez Cisco oraz ograniczenie dostępu do API zarządzania tożsamością tylko dla zaufanych sieci.
Oryginalny opis (angielski, źródło NVD)
A vulnerability in an identity management API endpoint of Cisco ISE could allow an unauthenticated, remote attacker to enumerate valid user accounts on an affected device. This vulnerability exists because error messages are observed when the affected API endpoint is called. An attacker could exploit this vulnerability by sending a series of crafted requests to the affected endpoint and analyzing the differentiated responses. A successful exploit could allow the attacker to compile a list of valid usernames on an affected system.

