Vulnerabilidad en Cisco IOS XE (CVE-2024-20437)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-352
Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
25/09/2024
Última modificación:
24/10/2024
Descripción
Una vulnerabilidad en la interfaz de administración basada en web del software Cisco IOS XE podría permitir que un atacante remoto no autenticado realice un ataque de Cross-Site Request Forgery (CSRF) y ejecute comandos en la CLI de un dispositivo afectado. Esta vulnerabilidad se debe a que no hay suficientes protecciones CSRF para la interfaz de administración basada en web de un dispositivo afectado. Un atacante podría aprovechar esta vulnerabilidad persuadiendo a un usuario ya autenticado para que siga un enlace manipulado. Una explotación exitosa podría permitir al atacante realizar acciones arbitrarias en el dispositivo afectado con los privilegios del usuario objetivo.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:cisco:ios_xe:17.3.2:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:17.3.2a:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:17.3.3:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:17.3.4:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:17.3.4a:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:17.3.4b:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:17.3.4c:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:17.3.5:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:17.3.5a:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:17.3.5b:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:17.3.6:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:17.3.7:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:17.3.8:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:17.3.8a:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ios_xe:17.4.1:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página