Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:S/C:C/I:C/A:P)
Производитель ПО
Наименование ПО
Cisco IOS XE
(03.02.00.JA, 03.02.11a.SG, 03.15.00.S, 03.15.01.S, 03.15.01c.S, 03.15.02.S, 03.15.03.S, 03.15.04.S, 03.16.00.S, 03.16.00b.S, 03.16.00c.S, 03.16.01.S, 03.16.01a.S, 03.16.02.S, 03.16.02a.S, 03.16.02b.S, 03.16.03.S, 03.16.03a.S, 03.16.04.S, 03.16.04a.S, 03.16.04b.S, 03.16.04c.S, 03.16.04d.S, 03.16.04e.S, 03.16.04g.S, 03.16.05.S, 03.16.05a.S, 03.16.05b.S, 03.16.06.S, 03.16.06b.S, 03.16.07.S, 03.16.07a.S, 03.16.07b.S, 03.16.09.S, 03.16.10.S, 03.17.00.S, 03.17.01.S, 03.17.01a.S, 03.17.02.S, 03.17.03.S, 03.17.04.S, 03.18.00.S, 03.18.00.SP, 03.18.00a.S, 03.18.01.S, 03.18.01.SP, 03.18.01a.SP, 03.18.01b.SP, 03.18.01c.SP, 03.18.01g.SP, 03.18.01h.SP, 03.18.01i.SP, 03.18.02.S, 03.18.02.SP, 03.18.03.S, 03.18.03.SP, 03.18.03a.SP, 03.18.03b.SP, 03.18.04.S, 03.18.04.SP, 03.18.06.SP, 16.01.01, 16.01.02, 16.01.03, 16.02.01, 16.02.02, 16.03.01, 16.03.01a, 16.03.02, 16.03.03, 16.03.04, 16.03.05, 16.03.05b, 16.03.06, 16.03.07, 16.03.08, 16.03.09, 16.09.02h, 16.09.03h, 3.16.08.S, 3.18.05.SP)
Описание
Межсайтовая подмена запросов в веб-интерфейсе Cisco IOS XE, связанная с его недостаточной защитой, позволяет злоумышленникам, не прошедшим аутентификацию и действующим удаленно, выполнять произвольные действия с привилегиями пользователя, убедив его перейти по вредоносной ссылке. Если пользователь обладает правами администратора, то атакующий сможет изменять конфигурацию устройства, выполнять на нем команды или перезагружать его.
Как исправить
Используйте рекомендации производителя:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190612-iosxe-csrf
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190612-iosxe-csrf
Ссылки
Источник: CVE
Наименование: CVE-2019-1904
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1904
Наименование: CVE-2019-1904
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1904