Cisco XE: CVE-2024-20414: Cisco IOS和IOS XE Software Web UI跨站请求伪造漏洞

Cisco XE: CVE-2024-20414: Cisco IOS和IOS XE Software Web UI跨站请求伪造漏洞

Severity

7

CVSS

(AV: N /交流:M /非盟:N / C: N /我:C: N)

Published

09/25/2024

Created

09/27/2024

Added

09/26/2024

Modified

10/13/2024

Description

思科IOS软件和思科IOS XE软件的web UI特性中的漏洞可能允许未经身份验证的, 远程攻击者通过web UI对受影响的系统进行跨站点请求伪造（CSRF）攻击. 此漏洞是由于通过HTTP GET方法错误地接受配置更改造成的. 攻击者可以通过说服当前经过身份验证的管理员遵循精心制作的链接来利用此漏洞. 一个成功的漏洞利用可以让攻击者改变受影响设备的配置.

Solution(s)

• cisco-xe-update-latest

References

• http://attackerkb.com/topics/cve-2024-20414
• Cve - 2024-20414
• http://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ios-webui-HfwnRgk
• cisco-sa-ios-webui-HfwnRgk