Cisco IOS XE软件Web UI跨站点请求伪造漏洞安全通告
发布时间 2019-06-14漏洞编号和级别
CVE编号:CVE-2019-1904,危险级别:高危,CVSS分值:厂商自评:8.8,官方未评定
影响版本
受影响的版本
适用于Cisco IOS XE软件版本且启用了HTTP Server功能的Cisco设备。
漏洞概述
Cisco IOS XE是美国思科(Cisco)公司的一套为其网络设备开发的操作系统。Cisco IOS XE Software中的Web UI存在CSRF漏洞,允许未经身份验证的远程攻击者对受影响的系统进行跨站点请求伪造(CSRF)攻击。
该漏洞是由于受影响设备上的Web UI的CSRF保护不足。攻击者可以通过说服接口的用户遵循恶意链接来利用此漏洞。成功利用可能允许攻击者使用受影响用户的权限级别执行任意操作。如果用户具有管理权限,则攻击者可以更改配置,执行命令或重新加载受影响的设备。
漏洞验证
暂无POC/EXP。
修复建议
禁用HTTP Server功能可消除此漏洞的攻击媒介,并且可能是适当的缓解措施,直到可以升级受影响的设备。
参考链接
京公网安备11010802024551号