Vulnerabilidad en Cisco Identity Services Engine (CVE-2018-0216)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-352
Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
08/03/2018
Última modificación:
09/10/2019
Descripción
Una vulnerabilidad en la interfaz de administración web de Cisco Identity Services Engine (ISE) podría permitir que un atacante remoto sin autenticar lleve a cabo un ataque de Cross-Site Request Forgery (CSRF) y realizar acciones arbitrarias en un dispositivo afectado. La vulnerabilidad se debe a la medidas de protección contra CSRF insuficientes para la interfaz de administración web de un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad haciendo que un usuario de la interfaz siga un enlace manipulado. Su explotación con éxito podría permitir que el atacante realice acciones arbitrarias en un dispositivo objetivo mediante un navegador web y con los privilegios del usuario. Cisco Bug IDs: CSCvf69805.
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:identity_services_engine:2.0\(0.249\):*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:identity_services_engine:2.1\(0.476\):*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:identity_services_engine:2.2\(0.471\):*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:identity_services_engine:2.3\(0.298\):*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página