Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Cisco Emergency Responder (CVE-2024-20347)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-352 Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
03/04/2024
Última modificación:
11/04/2025

Descripción

Una vulnerabilidad en Cisco Emergency Responder podría permitir que un atacante remoto no autenticado realice un ataque CSRF, lo que podría permitirle realizar acciones arbitrarias en un dispositivo afectado. Esta vulnerabilidad se debe a protecciones insuficientes para la interfaz de usuario web de un SYSTEM afectado. Un atacante podría aprovechar esta vulnerabilidad persuadiendo a un usuario para que haga clic en un enlace manipulado. Un exploit exitoso podría permitir al atacante realizar acciones arbitrarias con el nivel de privilegio del usuario afectado, como eliminar usuarios del dispositivo.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:cisco:emergency_responder:*:*:*:*:*:*:*:* 12.5(1)su8b (excluyendo)
cpe:2.3:a:cisco:emergency_responder:14:*:*:*:*:*:*:*
cpe:2.3:a:cisco:emergency_responder:14su1:*:*:*:*:*:*:*
cpe:2.3:a:cisco:emergency_responder:14su2:*:*:*:*:*:*:*
cpe:2.3:a:cisco:emergency_responder:14su3:*:*:*:*:*:*:*
cpe:2.3:a:cisco:emergency_responder:14su3a:*:*:*:*:*:*:*