Cisco IOS XEAppWeb UI跨站点请求伪造漏洞安全通告

发布时间 2019-06-14

漏洞编号和级别


CVE编号:CVE-2019-1904,危险级别:高危,CVSS分值:厂商自评:8.8,官方未评定


影响版本


受影响的版本


适用于Cisco IOS XEApp版本且启用了HTTP Server功能的Cisco设备。


漏洞概述


Cisco IOS XE是美国思科(Cisco)企业的一套为其网络设备开发的操作系统。Cisco IOS XE Software中的Web UI存在CSRF漏洞,允许未经身份验证的远程攻击者对受影响的系统进行跨站点请求伪造(CSRF)攻击。


该漏洞是由于受影响设备上的Web UI的CSRF保护不足。攻击者可以通过说服接口的用户遵循恶意链接来利用此漏洞。成功利用可能允许攻击者使用受影响用户的权限级别实行任意操作。如果用户具有管理权限,则攻击者可以更改配置,实行命令或重新加载受影响的设备。


漏洞验证


暂无POC/EXP。


修复建议


禁用HTTP Server功能可消除此漏洞的攻击媒介,并且可能是适当的缓解措施,直到可以升级受影响的设备。


参考链接


https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190612-iosxe-csrf