Vulnerabilidad en Cisco Emergency Responder (CVE-2024-20347)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-352
Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
03/04/2024
Última modificación:
11/04/2025
Descripción
Una vulnerabilidad en Cisco Emergency Responder podría permitir que un atacante remoto no autenticado realice un ataque CSRF, lo que podría permitirle realizar acciones arbitrarias en un dispositivo afectado. Esta vulnerabilidad se debe a protecciones insuficientes para la interfaz de usuario web de un SYSTEM afectado. Un atacante podría aprovechar esta vulnerabilidad persuadiendo a un usuario para que haga clic en un enlace manipulado. Un exploit exitoso podría permitir al atacante realizar acciones arbitrarias con el nivel de privilegio del usuario afectado, como eliminar usuarios del dispositivo.
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:emergency_responder:*:*:*:*:*:*:*:* | 12.5(1)su8b (excluyendo) | |
| cpe:2.3:a:cisco:emergency_responder:14:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:emergency_responder:14su1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:emergency_responder:14su2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:emergency_responder:14su3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:emergency_responder:14su3a:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página