Cisco Identity Services Engine 跨站脚本漏洞

2020年7月21日，天融信公司报告了Cisco Identity Services Engine 跨站脚本漏洞CVE-2020-3340。Cisco Identity Services Engine（ISE）是美国思科公司的一款基于身份的环境感知平台。该平台通过收集网络、用户和设备中的实时信息，制定并实施相应策略来监管网络。 Cisco ISE 2.6 Patch 7之前版本中存在跨站脚本漏洞，该漏洞源于程序没有正确验证用户输入。攻击者可借助恶意代码利用该漏洞在上下文中执行任意脚本代码，或获取敏感信息。目前厂商已发布升级补丁以修复漏洞，建议使用此软件的用户尽快升级补丁程序以修复此漏洞。