首頁 > 安全研究 > 安全通報 > 安全通告

Cisco IOS XE軟件Web UI跨站點請求偽造漏洞安全通告

發布時間 2019-06-14

漏洞編號和級別


CVE編號:CVE-2019-1904,危險級別:高危,CVSS分值:廠商自評:8.8,官方未評定


影響版本


受影響的版本


適用于Cisco IOS XE軟件版本且啟用了HTTP Server功能的Cisco設備。


漏洞概述


Cisco IOS XE是美國思科(Cisco)公司的一套為其網絡設備開發的操作系統。Cisco IOS XE Software中的Web UI存在CSRF漏洞,允許未經身份驗證的遠程攻擊者對受影響的系統進行跨站點請求偽造(CSRF)攻擊。


該漏洞是由于受影響設備上的Web UI的CSRF保護不足。攻擊者可以通過說服接口的用戶遵循惡意鏈接來利用此漏洞。成功利用可能允許攻擊者使用受影響用戶的權限級別執行任意操作。如果用戶具有管理權限,則攻擊者可以更改配置,執行命令或重新加載受影響的設備。


漏洞驗證


暫無POC/EXP。


修復建議


禁用HTTP Server功能可消除此漏洞的攻擊媒介,并且可能是適當的緩解措施,直到可以升級受影響的設備。


參考鏈接


https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190612-iosxe-csrf

上一篇 下一篇