PT-2020-1386 · Cisco · Cisco Ios Xe+1
Mehmet Önder Key
·
Publicado
2020-01-08
·
Atualizado
2020-09-28
·
CVE-2019-16009
CVSS v2.0
10
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Software Cisco IOS e Cisco IOS XE (versões afetadas não especificadas)
Descrição
O problema está relacionado à proteção insuficiente contra CSRF na interface de usuário web dos dispositivos afetados, permitindo que um invasor remoto não autenticado realize um ataque de falsificação de solicitação entre sites (CSRF). Um invasor poderia explorar essa vulnerabilidade persuadindo um usuário da interface a seguir um link malicioso, o que poderia permitir que o invasor realizasse ações arbitrárias com o nível de privilégio do usuário visado. Se o usuário tiver privilégios administrativos, o invasor poderia alterar a configuração, executar comandos ou reiniciar um dispositivo afetado.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Como solução temporária, considere restringir o acesso à interface de usuário da web para minimizar o risco de exploração.
Evite usar a interface de usuário da web até que o problema seja resolvido.
Restrinja o acesso à interface de usuário da web vulnerável para minimizar o risco de exploração.
Considere desativar a interface de usuário da web até que um patch esteja disponível.
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cisco Ios
Cisco Ios Xe