Inicio / Alerta Temprana / Avisos Seguridad / Cross-Site Request Forgery en Cisco IOS XE Software Web

Cross-Site Request Forgery en Cisco IOS XE Software Web

Fecha de publicación: 
13/06/2019
Importancia: 
4 - Alta
Recursos afectados: 

Productos Cisco IOS XE Software con la característica HTTP Server habilitada.

Descripción: 

Cisco ha publicado una vulnerabilidad que afecta a la interfaz web de usuario por la que un atacante remoto no autenticado podría realizar un ataque Cross-Site Request Forgery (CSRF).

Solución: 

Cisco no ha publicado ninguna solución al respecto. Como medida de mitigación recomienda desactivar la característica HTTP Server mediante los comandos "no ip http server" o "no ip http secure-server".

Detalle: 

Una protección insuficiente ante ataques de tipo CSRF podría permitir a un atacante aprovechar esta vulnerabilidad si persuade a un usuario de la interfaz para que acceda a un enlace malicioso. Esto le permitiría realizar acciones arbitrarias con el mismo nivel de privilegios que el usuario afectado, alterar la configuración, ejecutar comandos o reiniciar un dispositivo. Se ha reservado el identificador CVE-2019-1904 para esta vulnerabilidad.

Encuesta valoración