-
-
-
- Noutăţi
- Servicii
- Raportează Incident
- CERT
- Contacte
-
O vulnerabilitate în interfața UI (web UI) a software-ului Cisco IOS XE ar putea permite unui atacator neautorizat, de la distanță să efectueze un atac de tip " cross-site request forgery" (CSRF) asupra unui sistem afectat. Un atacator ar putea exploata această vulnerabilitate prin convingerea unui utilizator al interfeței să urmeze un link rău intenționat. O exploatare reușită ar putea permite atacatorului să efectueze acțiuni arbitrare cu nivelul de privilegii al utilizatorului afectat.
Vulnerabilitatea se datorează unor protecții insuficiente CSRF pentru interfața web utilizată pe un sistem afectat. Dacă utilizatorul are privilegii administrative, atacatorul ar putea modifica configurația, executa comenzi sau reîncărca un sistem afectat.
Sisteme afectate: Cisco IOS XE 16.1.3, 16.2.1, 16.3 (1)
Orange Moldova CERT recomandă să faceți upgrade la Cisco IOS XE 16.4.1. Asigurați-vă că interfața WebUI este disponibilă numai pentru surse interne de încredere.