漏洞关键信息 基本信息 Advisory ID: cisco-sa-20190717-ise-sql-inject First Published: 2019年7月17日 16:00 GMT Version 1.0: Final CVE ID: CVE-2019-1942 CWE ID: CWE-89 Cisco Bug ID: CSCvp29278 CVSS Score: Base 4.3 漏洞摘要 描述: Cisco Identity Services Engine (ISE) 的赞助商门户 Web 接口中存在漏洞,可能允许经过身份验证的远程攻击者通过执行任意 SQL 查询影响受影响系统的完整性。 原因: 由于对用户提供的输入验证不足,攻击者可以通过向受影响系统发送包含 SQL 语句的特制输入来利用该漏洞。成功利用此漏洞可能导致攻击者修改某些数据库表中的条目,影响数据的完整性。 防护措施: 无可用的防护措施。 链接: Cisco Security Advisory 受影响产品 受影响产品版本: Cisco ISE 运行的软件版本 2.6.0 及更早版本。 修复软件 建议: 客户在考虑软件升级时,应定期查阅 Cisco 产品的安全公告,以确定暴露情况并制定完整的升级解决方案。 利用情况和公共公告 状态: Cisco 产品安全事件响应团队 (PSIRT) 尚未发现有关此漏洞的任何公共公告或恶意使用。 漏洞来源 发现方式: 在内部安全测试期间发现。 URL Cisco Security Advisory 修订历史 版本 1.0: 2019年7月17日 - 初始公开发布,状态为最终版。