Cisco Small Business Switch CSRF sérülékenység

CH azonosító: CH-14722 Cím: Cisco Small Business Switch CSRF sérülékenység Angol cím: Cisco Small Business Switch Cross-Site Request Forgery Vulnerability

Publikálás dátuma: 2019.10.18. Utolsó módosítás dátuma: 2019.10.18.

Leírás

A CVE-2019-12636 számon a Cisco Small Business Switch-eken futó WEB UI magas kockázati besorolású sérülékenysége vált ismert, amelynek kihasználásával a távoli, jogosultságokkal nem rendelkező támadó, CSRF támadást hajthat végre.

Elemzés leírás

A CISCO Small Business Switch eszközök vállalati környezetre fejlesztett, széles körű hálózati hozzáférést biztosítanak. A sérülékenység az érintett eszközök WEB UI felületének nem megfelelő CSRF védelméből fakad. A kihasználáshoz a támadónak rá kell vennie a felhasználót, hogy rákattintson egy rosszindulatú linkre. Egy sikeres támadás esetén a támadó az áldozat jogosultsági szintjének megfelelő jogosultságokat szerezhet. Ha az áldozat adminisztrátori jogosultsággal rendelkezik, akkor a támadó tetszőleges parancsokat hajthat végre, módosíthatja az eszköz konfigurációját, illetve szolgáltatás-megtagadásos kondíciót is teremthet.

Érintett termékek:

•  CISCO 250 Smart Switch
• CISCO 350 Managed Switch
• CISCO 550X Stackable Managed Switch

Megoldás:

A gyártó cég honlapján közzétette a hibákat javító szoftverfrissítést.

Hatás

Hivatkozások

Gyártói referencia: tools.cisco.com
CVE-2019-12636 - NVD CVE-2019-12636