Vulnérabilité d'usurpation de requête intersite dans le tableau de bord Cisco Nexus et les services hébergés de Nexus Dashboard

Une vulnérabilité dans l'interface de gestion web de Cisco Nexus Dashboard et des services hébergés de Cisco Nexus Dashboard pourrait permettre à un attaquant distant non authentifié de lancer une attaque de falsification de requête intersite (CSRF) contre un système affecté. Cette vulnérabilité est due à des protections CSRF insuffisantes pour l'interface de gestion web sur un système affecté. Un attaquant pourrait exploiter cette vulnérabilité en persuadant un utilisateur de cliquer sur un lien malveillant. Une exploitation réussie pourrait permettre à l'attaque de réaliser des actions arbitraires avec le niveau de privilège de l'utilisateur affecté. Si l'utilisateur affecté a des privilèges administratifs, ces actions pourraient inclure la modification de la configuration du système et la création de nouveaux comptes privilégiés. Note : Il existe des mécanismes de sécurité internes en place qui limitent la portée de cette exploitation, réduisant le classement d'impact de sécurité de cette vulnérabilité. Cisco a publié des mises à jour logicielles qui corrigent cette vulnérabilité. Il n'y a pas de solutions de contournement qui abordent cette vulnérabilité. Ce conseil est disponible à l'adresse suivante : https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ndfccsrf-TEmZEfJ9 Classement d'impact de sécurité : Moyen CVE : CVE-2024-20281