Cisco ha publicado una actualización de un aviso de seguridad publicado en noviembre de 2022, que afecta al producto Cisco Identity Services Engine, la plataforma de administración de políticas de seguridad. La severidad de las vulnerabilidades tratadas varía entre alta, para la que tiene el identificador CVE-2022-20964 y media para las restantes, CVE-2022-20965, CVE-2022-20966, CVE-2022-20967.

Estos fallos podrían permitir que un atacante remoto autenticado inyecte comandos arbitrarios del sistema operativo, eluda las protecciones de seguridad y realice ataques de secuencias de comandos entre sitios, comprometiendo a los sistemas afectados.Para la mitigación de estas vulnerabilidades, desde el BCSC se recomienda tener siempre los sistemas y aplicaciones actualizadas a la última versión disponible en cuanto se publiquen las actualizaciones correspondientes.

Desde Cisco se remarca que la compañía planea lanzar actualizaciones de software que aborden las vulnerabilidades descritas en este aviso y, por el momento, no se disponen de soluciones alternativas que aborden estos fallos.Adicionalmente se recomienda a los clientes que solo descarguen software para el que tengan una licencia válida, obtenida directamente de Cisco o a través de un distribuidor o socio autorizado de Cisco.