CVE-2024-20437

Опубликовано: 25 сент. 2024

Источник: nvd

CVSS3: 8.1

CVSS3: 8.8

EPSS Низкий

Описание

This vulnerability is due to insufficient CSRF protections for the web-based management interface of an affected device. An attacker could exploit this vulnerability by persuading an already authenticated user to follow a crafted link. A successful exploit could allow the attacker to perform arbitrary actions on the affected device with the privileges of the targeted user.

Ссылки

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webui-csrf-ycUYxkKO
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:o:cisco:ios_xe:17.3.2:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.3.2a:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.3.3:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.3.4:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.3.4a:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.3.4b:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.3.4c:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.3.5:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.3.5a:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.3.5b:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.3.6:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.3.7:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.3.8:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.3.8a:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.4.1:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.4.1a:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.4.1b:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.4.2:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.4.2a:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.5.1:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.5.1a:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.6.1:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.6.1a:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.6.1w:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.6.1x:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.6.1y:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.6.1z:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.6.1z1:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.6.2:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.6.3:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.6.3a:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.6.4:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.6.5:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.6.5a:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.6.6:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.6.6a:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.7.1:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.7.1a:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.7.1b:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.7.2:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.8.1:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.8.1a:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.9.1:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.9.1a:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.9.1w:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.9.1x:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.9.1x1:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.9.1y:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.9.1y1:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.9.2:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.9.2a:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.9.3:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.9.3a:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.9.4:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.9.4a:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.10.1:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.10.1a:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.10.1b:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.11.1:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.11.1a:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.11.99sw:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.12.1:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.12.1a:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.12.1w:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.12.1x:*:*:*:*:*:*:*

cpe:2.3:o:cisco:ios_xe:17.12.1y:*:*:*:*:*:*:*

EPSS

Процентиль: 83%

0.0186

Низкий

8.1 High

CVSS3

8.8 High

CVSS3

Дефекты

CWE-352

Связанные уязвимости

GHSA-q2mj-f3x9-hwgq

CVSS3: 8.1

github

больше 1 года назад

A vulnerability in the web-based management interface of Cisco IOS XE Software could allow an unauthenticated, remote attacker to perform a cross-site request forgery (CSRF) attack and execute commands on the CLI of an affected device. This vulnerability is due to insufficient CSRF protections for the web-based management interface of an affected device. An attacker could exploit this vulnerability by persuading an already authenticated user to follow a crafted link. A successful exploit could allow the attacker to perform arbitrary actions on the affected device with the privileges of the targeted user.

BDU:2024-07914

CVSS3: 8.1

fstec

около 2 лет назад

Уязвимость веб-интерфейса управления операционных систем Cisco IOS XE, позволяющая нарушителю осуществить CSRF-атаку

EPSS

Процентиль: 83%

0.0186

Низкий

8.1 High

CVSS3

8.8 High

CVSS3

Дефекты

CWE-352