Vulnerabilidad en FindMe de Cisco Expressway (CVE-2019-1722)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-352
Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
18/04/2019
Última modificación:
09/10/2019
Descripción
Una vulnerabilidad en la función FindMe de Cisco Expressway Series y Cisco TelePresence Video Communication Server (VCS) podría permitir a un atacante remoto no identificado realizar un ataque de tipo cross-site request forgery (CSRF) y realizar acciones arbitrarias en un sistema afectado. La vulnerabilidad se debe a las insuficientes protecciones de CSRF para la interfaz de administración basada en web del sistema afectado. Un atacante podría aprovechar esta vulnerabilidad al persuadir a un usuario de la interfaz para que siga un enlace creado con fines maliciosos. Una operación con éxito podría permitir al atacante realizar acciones arbitrarias en un sistema afectado con los privilegios del usuario. Las acciones arbitrarias incluyen agregar un dispositivo controlado por un atacante y redirigir las llamadas destinadas a un usuario específico. Para obtener más información sobre los ataques CSRF y las posibles mitigaciones, consulte Cross-Site Request Forgery Threat Vectors. Esta vulnerabilidad se corrigió en la versión de software X12.5.1 y posterior.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:expressway_series:-:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:telepresence_video_communication_server:*:*:*:*:*:*:*:* | x12.5.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página