Cross-Site Request Forgery en Cisco IOS XE Software Web
Fecha de publicación: 13/06/2019
Importancia:
Alta
Recursos afectados:
Productos Cisco IOS XE Software con la característica HTTP Server habilitada.
Descripción:
Cisco ha publicado una vulnerabilidad que afecta a la interfaz web de usuario por la que un atacante remoto no autenticado podría realizar un ataque Cross-Site Request Forgery (CSRF).
Solución:
Cisco no ha publicado ninguna solución al respecto. Como medida de mitigación recomienda desactivar la característica HTTP Server mediante los comandos “no ip http server” o “no ip http secure-server“.
Detalle:
Una protección insuficiente ante ataques de tipo CSRF podría permitir a un atacante aprovechar esta vulnerabilidad si persuade a un usuario de la interfaz para que acceda a un enlace malicioso. Esto le permitiría realizar acciones arbitrarias con el mismo nivel de privilegios que el usuario afectado, alterar la configuración, ejecutar comandos o reiniciar un dispositivo. Se ha reservado el identificador CVE-2019-1904 para esta vulnerabilidad.
Etiquetas:
0day, Cisco, Vulnerabilidad
Powered by WPeMatico
