CVE-2019-12624
Cisco IOS XE NGWC Legacy Wireless Device Manager GUI Cross-Site Request Forgery Vulnerability
Em resumo
Uma falha na interface web do controlador wireless Cisco IOS XE permite que um atacante engane um usuário logado para executar ações indesejadas no dispositivo, como alterar configurações, sem que o usuário perceba.
Detalhe técnico
Essa vulnerabilidade de CSRF na interface de gerenciamento web do Cisco IOS XE NGWC carece de validação adequada de tokens e verificações de mesma origem. Um atacante não autenticado pode criar um link malicioso que, ao ser clicado por um administrador autenticado, executa ações administrativas arbitrárias usando o contexto da sessão da vítima.
Resumo gerado e traduzido por IA a partir da descrição oficial.
A vulnerability in the web-based management interface of Cisco IOS XE New Generation Wireless Controller (NGWC) could allow an unauthenticated, remote attacker to conduct a cross-site request forgery (CSRF) attack and perform arbitrary actions on an affected device. The vulnerability is due to insufficient CSRF protections for the web-based management interface of the affected software. An attacker could exploit this vulnerability by persuading a user of the interface to follow a crafted link. A successful exploit could allow the attacker to perform arbitrary actions on an affected device by using a web browser and with the privileges of the user.
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Produtos afetados
Cisco · Cisco IOS XE SoftwarePoCs públicas encontradas — 1
exploitdbwww.exploit-db.com/exploits/47153não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →