Cross-Site Request Forgery en Cisco IOS XE Software Web
Productos Cisco IOS XE Software con la característica HTTP Server habilitada.
Cisco ha publicado una vulnerabilidad que afecta a la interfaz web de usuario por la que un atacante remoto no autenticado podría realizar un ataque Cross-Site Request Forgery (CSRF).
Cisco no ha publicado ninguna solución al respecto. Como medida de mitigación recomienda desactivar la característica HTTP Server mediante los comandos "no ip http server" o "no ip http secure-server".
Una protección insuficiente ante ataques de tipo CSRF podría permitir a un atacante aprovechar esta vulnerabilidad si persuade a un usuario de la interfaz para que acceda a un enlace malicioso. Esto le permitiría realizar acciones arbitrarias con el mismo nivel de privilegios que el usuario afectado, alterar la configuración, ejecutar comandos o reiniciar un dispositivo. Se ha reservado el identificador CVE-2019-1904 para esta vulnerabilidad.
