Cisco corrige une vulnérabilité importante sur les produits fonctionnant sous Cisco IOS XE

Cisco a publié le 12 juin un bulletin sur une vulnérabilité affectant ses produits fonctionnant sous Cisco IOS XE. La vulnérabilité corrigée est considérée comme importante.

L'impact sur la disponibilité, l'intégrité et la confidentialité des données est élevé. En effet, l'exploitation de la vulnérabilité peut être réalisée à distance, ne nécessite pas de privilège et se révèle simple à mettre en œuvre.

La vulnérabilité a été découverte par les équipes Cisco, aussi, l'organisation indique que celle-ci n'a pas été exploitée.

Détails Techniques :

La vulnérabilité a été référencée comme suit :

• CVE-2019-1904 [CVSS v3 8.8] : La vulnérabilité est due à l'insuffisance des protections CSRF (cross-site request forgery) pour l'interface utilisateur Web d'un périphérique affecté. Un attaquant pourrait exploiter cette vulnérabilité en incitant un utilisateur de l'interface à cliquer sur un lien malveillant.
• Un exploit réussi pourrait permettre à l'attaquant d'effectuer des actions arbitraires avec le niveau de privilège de l'utilisateur affecté. Si l'utilisateur dispose de privilèges administrateur, l'attaquant peut modifier la configuration, exécuter des commandes arbitraires ou recharger un périphérique affecté.