Vigil@nce - Cisco Secure ACS : élévation de privilèges via Dashboard/Portlet
décembre 2015 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut contourner les restrictions dans
Dashboard/Portlet de Cisco Secure ACS, afin d’élever ses
privilèges.
Produits concernés : Secure ACS.
Gravité : 2/4.
Date création : 26/10/2015.
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Cisco Secure ACS utilise RBAC (role-based access
control).
Cependant, les règles RBAC autorisent la création d’un Dashboard
ou Portlet.
Un attaquant authentifié peut donc créer un Dashboard/Portlet
sur Cisco Secure ACS, afin d’élever ses privilèges.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET