Jacek Strzalkowski

**Nome do Software Vulnerável e Versões Afetadas** Software Cisco IOS (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade no Gerenciador de Dispositivos (DM) do Switch Industrial Ethernet da Cisco pode permitir que um atacante remoto autenticado eleve privilégios devido à validação insuficiente de autorizações para usuários autenticados. O atacante pode explorar isso enviando uma solicitação HTTP manipulada para um dispositivo afetado, potencialmente elevando privilégios ao nível de privilégio 15. Para explorar isso, o atacante deve possuir credenciais válidas para uma conta de usuário com nível de privilégio 5 ou superior. Usuários DM somente leitura são atribuídos ao nível de privilégio 5. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Cisco IOS Software and Cisco IOS XE Software (affected versions not specified) **Description** A vulnerability in the web UI feature could allow an unauthenticated, remote attacker to conduct a cross-site request forgery (CSRF) attack on an affected system through the web UI. This vulnerability is due to incorrectly accepting configuration changes through the HTTP GET method. An attacker could exploit this vulnerability by persuading a currently authenticated administrator to follow a crafted link. A successful exploit could allow the attacker to change the configuration of the affected device. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.