#news Один из основных поставщиков десяточек по CVSS отметился новой. Кто? Конечно же, Cisco, широко известно чья контора. Причём снова в Cisco ISE и ISE-PIC — в прошлом месяце в них также исправили две уязвимости с максимальным рейтингом. Проблема в недостаточной проверке данных в одном из API. А вместе с этим идут RCE с рут-доступом без авторизации — достаточно специально созданного запроса по публичному API. Если где-то это уже слышали, вам не кажется: уязвимость идентична исправленной в конце июня, и нашли её те же исследователи. Помогите Даше оценить качество кода этого их API после вскрытия в нём двух десяточек на досуге. А пару недель назад Cisco залетела в новости с очередным забытым тестовым аккаунтом. Так что у этих всё стабильно. @tomhunter
#news Один из основных поставщиков десяточек по CVSS отметился новой. Кто? Конечно же, Cisco, широко известно чья контора. Причём снова в Cisco ISE и ISE-PIC — в прошлом месяце в них также исправили две уязвимости с максимальным рейтингом.
Проблема в недостаточной проверке данных в одном из API. А вместе с этим идут RCE с рут-доступом без авторизации — достаточно специально созданного запроса по публичному API. Если где-то это уже слышали, вам не кажется: уязвимость идентична исправленной в конце июня, и нашли её те же исследователи. Помогите Даше оценить качество кода этого их API после вскрытия в нём двух десяточек на досуге. А пару недель назад Cisco залетела в новости с очередным забытым тестовым аккаунтом. Так что у этих всё стабильно.
