Vulnerabilidad en Cisco IoT Field Network Director (CVE-2018-0270)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-352
Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
17/05/2018
Última modificación:
09/10/2019
Descripción
Una vulnerabilidad en la interfaz de gestión basada en web de Cisco IoT Field Network Director (IoT-FND) podría permitir que un atacante remoto sin autenticar lleve a cabo un ataque de Cross-Site Request Forgery (CSRF) y alterar los datos de grupos y usuarios existentes en un dispositivo afectado. La vulnerabilidad se debe a la medidas de protección contra CSRF insuficientes para la interfaz de administración web de un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad haciendo que un usuario de la interfaz siga un enlace malicioso. Su explotación con éxito podría permitir que el atacante realice acciones arbitrarias con el nivel de privilegios del usuario afectado. Si el usuario tiene privilegios administrativos, el atacante podría crear una nueva cuenta privilegiada para obtener el control total de la interfaz del dispositivo. Esta vulnerabilidad afecta a Connected Grid Network Management System, si ejecuta una versión de software anterior a IoT-FND Release 3.0; IoT Field Network Director, si ejecuta una versión de software anterior a IoT-FND Release 4.1.1-6 o 4.2.0-123. Cisco Bug IDs: CSCvi02448.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:iot_field_network_director:4.2\(0.4\):*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página