Cisco Expressway Series XSRF (cisco-sa-expressway-csrf-KnnZDMj3)

high Nessus プラグイン ID 190353

Language:

概要

リモートデバイスに、ベンダーが提供したセキュリティパッチがありません。

説明

自己報告されたバージョンによると、Cisco Expressway Series は複数の脆弱性の影響を受けます。

- Cisco Expressway Series および Cisco TelePresence Video Communication Server (VCS) の脆弱性により、認証されていないリモートの攻撃者がクロスサイトリクエスト偽造 (CSRF) 攻撃を行い、影響を受けるデバイスで任意のアクションを実行する可能性があります。注意: Cisco Expressway Series とは、Cisco Expressway Control (Expressway-C) デバイスおよび Cisco Expressway Edge (Expressway-E) デバイスを指します。これらの脆弱性の詳細については、このアドバイザリの詳細 [#details] セクションを参照してください。
(CVE-2024-20252、CVE-2024-20254)

- Cisco Expressway Series および Cisco TelePresence Video Communication Server (VCS) の SOAP API の脆弱性により、認証されていないリモートの攻撃者が影響を受けるシステムでクロスサイトリクエスト偽造 (CSRF) 攻撃を行う可能性があります。この脆弱性は、影響を受けるシステムの Web ベース管理インターフェースに対する CSRF 保護が不十分であることが原因です。攻撃者がこの脆弱性を悪用して、この REST API のユーザーに細工されたリンクをたどるように誘導する可能性があります。悪用に成功すると、攻撃者が影響を受けるシステムをリロードさせる可能性があります。(CVE-2024-20255)

詳細については、付属の Cisco BID および Cisco Security Advisory を参照してください。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。