Vulnerabilidad en la interfaz de administración basada en web del Software Cisco DNA Center (CVE-2021-1257)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-352
Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
20/01/2021
Última modificación:
23/07/2025
Descripción
Una vulnerabilidad en la interfaz de administración basada en web del Software Cisco DNA Center, podría permitir a un atacante no autenticado remoto conducir un ataque de tipo cross-site request forgery (CSRF) para manipular a un usuario autenticado para que ejecutar acciones maliciosas sin su conocimiento o consentimiento. La vulnerabilidad es debido a unas protecciones CSRF insuficientes para la interfaz de administración basada en web de un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad persuadiendo a un usuario de administración basado en web para que siga un enlace especialmente diseñado. Una explotación con éxito podría permitir al atacante llevar a cabo acciones arbitrarias en el dispositivo con los privilegios del usuario autenticado. Estas acciones incluyen modificar la configuración del dispositivo, desconectar la sesión del usuario y ejecutar comandos de Command Runner
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:cisco:catalyst_center:*:*:*:*:*:*:*:* | 2.1.1.0 (excluyendo) | |
cpe:2.3:a:mcafee:agent:*:*:*:*:*:linux:*:* | 5.7.6 (excluyendo) | |
cpe:2.3:a:mcafee:agent:*:*:*:*:*:macos:*:* | 5.7.6 (excluyendo) | |
cpe:2.3:a:mcafee:agent:*:*:*:*:*:windows:*:* | 5.7.6 (excluyendo) | |
cpe:2.3:o:apple:macos:-:*:*:*:*:*:*:* | ||
cpe:2.3:o:linux:linux_kernel:-:*:*:*:*:*:*:* | ||
cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://kc.mcafee.com/corporate/index?page=content&id=SB10382
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-dnac-csrf-dC83cMcV
- https://kc.mcafee.com/corporate/index?page=content&id=SB10382
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-dnac-csrf-dC83cMcV