Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-01673

Опубликовано: 17 апр. 2019
Источник: fstec
CVSS3: 8.1
CVSS2: 9.4
EPSS Низкий

Описание

Уязвимость веб-интерфейса управления программного обеспечения Cisco Wireless LAN Controller связана с подделкой межсайтовых запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные действия на устройстве с привилегиями пользователя, включая изменение конфигурации устройства с помощью специально созданной ссылки

Вендор

Cisco Systems Inc.

Наименование ПО

Wireless LAN controller

Версия ПО

до 8.3.150.0 (Wireless LAN controller)
от 8.4 до 8.5.135.0 (Wireless LAN controller)
от 8.6 до 8.8.100.0 (Wireless LAN controller)

Тип ПО

ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190417-wlc-csrf

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 41%
0.00187
Низкий

8.1 High

CVSS3

9.4 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2019-1797

CVSS3: 8.8
nvd
почти 7 лет назад

A vulnerability in the web-based management interface of Cisco Wireless LAN Controller (WLC) Software could allow an unauthenticated, remote attacker to conduct a cross-site request forgery (CSRF) attack and perform arbitrary actions on the device with the privileges of the user, including modifying the device configuration. The vulnerability is due to insufficient CSRF protections for the web-based management interface of an affected device. An attacker could exploit this vulnerability by persuading an interface user to follow a crafted link. A successful exploit could allow the attacker to perform arbitrary actions on the device with the privileges of the user. Software versions prior to 8.3.150.0, 8.5.135.0, and 8.8.100.0 are affected.

github логотип

GHSA-8234-7c3q-xx3r

CVSS3: 8.8
github
больше 3 лет назад

A vulnerability in the web-based management interface of Cisco Wireless LAN Controller (WLC) Software could allow an unauthenticated, remote attacker to conduct a cross-site request forgery (CSRF) attack and perform arbitrary actions on the device with the privileges of the user, including modifying the device configuration. The vulnerability is due to insufficient CSRF protections for the web-based management interface of an affected device. An attacker could exploit this vulnerability by persuading an interface user to follow a crafted link. A successful exploit could allow the attacker to perform arbitrary actions on the device with the privileges of the user. Software versions prior to 8.3.150.0, 8.5.135.0, and 8.8.100.0 are affected.

EPSS

Процентиль: 41%
0.00187
Низкий

8.1 High

CVSS3

9.4 Critical

CVSS2