CRITICAL✓ PATCH🇬🇧 English

CVE-2024-20254

CSRF w Cisco Expressway i TelePresence VCS umożliwiający zdalne działania

CVSS 9.6v3.1pub. 2024-02-07upd. 2024-11-21

Wiele podatności typu cross-site request forgery (CSRF) w Cisco Expressway Series i Cisco TelePresence Video Communication Server (VCS) umożliwia nieuwierzytelnionemu, zdalnemu atakującemu wykonanie dowolnych działań na podatnym urządzeniu. Podatność otrzymała ocenę CVSS 9.6 (CRITICAL), co czyni ją poważnym zagrożeniem dla infrastruktury komunikacyjnej.

Pokaż oryginał (EN)

Multiple vulnerabilities in Cisco Expressway Series and Cisco TelePresence Video Communication Server (VCS) could allow an unauthenticated, remote attacker to conduct cross-site request forgery (CSRF) attacks that perform arbitrary actions on an affected device. Note: "Cisco Expressway Series" refers to Cisco Expressway Control (Expressway-C) devices and Cisco Expressway Edge (Expressway-E) devices. For more information about these vulnerabilities, see the Details ["#details"] section of this advisory.

🤖 Analiza AI
Jak działa

Atakujący, wykorzystując podatność CSRF, może nakłonić zalogowanego użytkownika (np. administratora) do odwiedzenia spreparowanej strony internetowej lub kliknięcia złośliwego łącza. Przeglądarka ofiary wysyła wówczas nieautoryzowane żądanie HTTP do podatnego urządzenia, które traktuje je jako legitymowane, ponieważ pochodzi od uwierzytelnionej sesji. W wyniku tego atakujący może zlecić wykonanie dowolnych operacji w imieniu ofiary bez jej wiedzy i zgody. Podatność dotyczy zarówno urządzeń Cisco Expressway Control (Expressway-C), jak i Cisco Expressway Edge (Expressway-E).

Skutki

Atakujący może wykonać dowolne, nieautoryzowane akcje na podatnym urządzeniu z uprawnieniami zaatakowanego użytkownika, co może prowadzić do pełnego przejęcia kontroli nad urządzeniem, naruszenia poufności i integralności danych oraz zakłócenia jego dostępności.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi pod adresem: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-expressway-csrf-KnnZDMj3. Dodatkowo zaleca się ograniczenie dostępu do interfejsów zarządzania urządzeń wyłącznie do zaufanych sieci oraz stosowanie mechanizmów ochrony sesji administratorskich.

Kogo dotyczy

Cisco Expressway Control (Expressway-C), Cisco Expressway Edge (Expressway-E) oraz Cisco TelePresence Video Communication Server (VCS) — wersje wskazane w referencjach producenta.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
  • Cisco Expressway

    APP
    Cisco
    ≤ 15.0
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2024-20252CRITICAL9.6PL ✓ten sam produkt

CSRF w Cisco Expressway Series i TelePresence VCS — nieautoryzowane działania

CVE-2022-20812CRITICAL9.0ten sam produkt

Multiple vulnerabilities in the API and in the web-based management interface of Cisco Expressway Series and C...

CVE-2022-20813CRITICAL9.0ten sam produkt

Multiple vulnerabilities in the API and in the web-based management interface of Cisco Expressway Series and C...

CVE-2024-20255HIGH8.2ten sam produkt

A vulnerability in the SOAP API of Cisco Expressway Series and Cisco TelePresence Video Communication Server c...

CVE-2018-5390HIGH7.5ten sam produkt

Linux kernel versions 4.9+ can be forced to make very expensive calls to tcp_collapse_ofo_queue() and tcp_prun...