CVE-2019-12624
Cisco IOS XE NGWC Legacy Wireless Device Manager GUI Cross-Site Request Forgery Vulnerability
En resumen
Una falla en la interfaz web del controlador wireless Cisco IOS XE permite que un atacante engañe a un usuario conectado para ejecutar acciones no deseadas en el dispositivo, como cambiar configuraciones, sin que el usuario lo sepa.
Detalle técnico
Esta vulnerabilidad de CSRF en la interfaz de gestión web del Cisco IOS XE NGWC carece de validación adecuada de tokens y verificaciones de mismo origen. Un atacante no autenticado puede crear un enlace malicioso que, al ser hecho clic por un administrador autenticado, ejecuta acciones administrativas arbitrarias utilizando el contexto de sesión de la víctima.
Resumen generado y traducido por IA a partir de la descripción oficial.
A vulnerability in the web-based management interface of Cisco IOS XE New Generation Wireless Controller (NGWC) could allow an unauthenticated, remote attacker to conduct a cross-site request forgery (CSRF) attack and perform arbitrary actions on an affected device. The vulnerability is due to insufficient CSRF protections for the web-based management interface of the affected software. An attacker could exploit this vulnerability by persuading a user of the interface to follow a crafted link. A successful exploit could allow the attacker to perform arbitrary actions on an affected device by using a web browser and with the privileges of the user.
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Productos afectados
Cisco · Cisco IOS XE SoftwarePoCs públicas encontradas — 1
exploitdbwww.exploit-db.com/exploits/47153no verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →