Vulnerabilidad en Cisco ATA 190 Series (CVE-2024-20421)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-352
Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
16/10/2024
Última modificación:
31/10/2024
Descripción
Una vulnerabilidad en la interfaz de administración basada en web del firmware del adaptador telefónico analógico Cisco ATA 190 Series podría permitir que un atacante remoto no autenticado realice un ataque de cross-site request forgery (CSRF) y realice acciones arbitrarias en un dispositivo afectado. Esta vulnerabilidad se debe a que no hay suficientes protecciones CSRF para la interfaz de administración basada en web de un dispositivo afectado. Un atacante podría aprovechar esta vulnerabilidad persuadiendo a un usuario para que siga un enlace creado. Una explotación exitosa podría permitir al atacante realizar acciones arbitrarias en el dispositivo afectado con los privilegios del usuario objetivo.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:cisco:ata_191_firmware:*:*:*:*:*:*:*:* | 12.0.2 (excluyendo) | |
| cpe:2.3:h:cisco:ata_191:-:*:*:*:on-premises:*:*:* | ||
| cpe:2.3:o:cisco:ata_191_firmware:*:*:*:*:*:*:*:* | 11.2.5 (excluyendo) | |
| cpe:2.3:h:cisco:ata_191:-:*:*:*:multiplatform:*:*:* | ||
| cpe:2.3:o:cisco:ata_192_firmware:*:*:*:*:*:*:*:* | 11.2.5 (excluyendo) | |
| cpe:2.3:h:cisco:ata_192:-:*:*:*:multiplatform:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página