Cisco Expressway Series XSRF (cisco-sa-expressway-csrf-KnnZDMj3)
high Nessus 插件 ID 190353
语言:
简介
远程设备缺少供应商提供的安全补丁。描述
根据其自我报告的版本,Cisco Expressway Series 受到多个漏洞影响。- Cisco Expressway Series 和 Cisco TelePresence Video Communication Server (VCS) 中存在漏洞,未经身份验证的远程攻击者可利用此漏洞发动跨站请求伪造 (CSRF) 攻击,并在受影响的设备上执行任意操作。注意:Cisco Expressway Series 指代 Cisco Expressway Control (Expressway-C) 设备和 Cisco Expressway Edge (Expressway-E) 设备。有关这些漏洞的更多信息,请参阅此公告的详细信息 [#details] 部分。
(CVE-2024-20252、CVE-2024-20254)
- Cisco Expressway Series 和 Cisco TelePresence Video Communication Server (VCS) 的 SOAP API 中存在漏洞,未经身份验证的远程攻击者可利用此漏洞,在受影响的设备上发动跨站请求伪造 (CSRF) 攻击。造成此漏洞的原因在于,在受影响系统上针对基于 Web 的管理界面提供的 CSRF 保护不够充分。攻击者可通过诱骗 REST API 用户访问特制的链接以利用此漏洞。若成功利用此漏洞,则攻击者可以使受影响的系统重新加载。(CVE-2024-20255)
请参阅随附的 Cisco BID 和 Cisco 安全公告,了解更多信息。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级到 Cisco 错误 ID CSCwa25074、CSCwa25099、CSCwa25100 中提及的相关修复版本另见
http://www.nessus.org/u?971fa3eb
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwa25074
插件详情
严重性: High
ID: 190353
文件名: cisco-sa-expressway-csrf-KnnZDMj3.nasl
版本: 1.2
类型: remote
系列: CISCO
发布时间: 2024/2/9
最近更新时间: 2024/2/16
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 7.4
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2024-20254
CVSS v3
风险因素: High
基本分数: 8.8
时间分数: 7.7
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/h:cisco:telepresence_video_communication_server, cpe:/a:cisco:telepresence_video_communication_server_software
必需的 KB 项: Cisco/TelePresence_VCS/Version
易利用性: No known exploits are available
补丁发布日期: 2024/2/7
漏洞发布日期: 2024/2/7
参考资料信息
CVE: CVE-2024-20252, CVE-2024-20254, CVE-2024-20255
CWE: 352
CISCO-SA: cisco-sa-expressway-csrf-KnnZDMj3
IAVA: 2024-A-0076
CISCO-BUG-ID: CSCwa25074, CSCwa25099, CSCwa25100