Cross-Site Request Forgery en Cisco IOS XE Software Web

Fecha de publicación: 13/06/2019

Importancia:
Alta

Recursos afectados:

Productos Cisco IOS XE Software con la característica HTTP Server habilitada.

Descripción:

Cisco ha publicado una vulnerabilidad que afecta a la interfaz web de usuario por la que un atacante remoto no autenticado podría realizar un ataque Cross-Site Request Forgery (CSRF).

Solución:

Cisco no ha publicado ninguna solución al respecto. Como medida de mitigación recomienda desactivar la característica HTTP Server mediante los comandos “no ip http server” o “no ip http secure-server“.

Detalle:

Una protección insuficiente ante ataques de tipo CSRF podría permitir a un atacante aprovechar esta vulnerabilidad si persuade a un usuario de la interfaz para que acceda a un enlace malicioso. Esto le permitiría realizar acciones arbitrarias con el mismo nivel de privilegios que el usuario afectado, alterar la configuración, ejecutar comandos o reiniciar un dispositivo. Se ha reservado el identificador CVE-2019-1904 para esta vulnerabilidad.

Encuesta valoración

Etiquetas:
0day, Cisco, Vulnerabilidad

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.