A vulnerability in the web-based management interface of Cisco IOS XE Software could allow an unauthenticated, remote attacker to perform a cross-site request forgery (CSRF) attack and execute commands on the CLI of an affected device.

This vulnerability is due to insufficient CSRF protections for the web-based management interface of an affected device. An attacker could exploit this vulnerability by persuading an already authenticated user to follow a crafted link. A successful exploit could allow the attacker to perform arbitrary actions on the affected device with the privileges of the targeted user.
Fixes

Solution

No solution given by the vendor.


Workaround

No workaround given by the vendor.

History

Thu, 24 Oct 2024 20:00:00 +0000

Type Values Removed Values Added
First Time appeared Cisco
Cisco ios Xe
CPEs cpe:2.3:o:cisco:ios_xe:17.10.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.10.1a:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.10.1b:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.11.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.11.1a:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.11.99sw:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.12.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.12.1a:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.12.1w:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.12.1x:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.12.1y:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.3.2:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.3.2a:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.3.3:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.3.4:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.3.4a:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.3.4b:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.3.4c:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.3.5:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.3.5a:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.3.5b:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.3.6:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.3.7:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.3.8:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.3.8a:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.4.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.4.1a:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.4.1b:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.4.2:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.4.2a:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.5.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.5.1a:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.6.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.6.1a:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.6.1w:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.6.1x:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.6.1y:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.6.1z1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.6.1z:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.6.2:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.6.3:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.6.3a:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.6.4:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.6.5:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.6.5a:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.6.6:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.6.6a:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.7.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.7.1a:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.7.1b:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.7.2:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.8.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.8.1a:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.9.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.9.1a:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.9.1w:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.9.1x1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.9.1x:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.9.1y1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.9.1y:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.9.2:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.9.2a:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.9.3:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.9.3a:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.9.4:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xe:17.9.4a:*:*:*:*:*:*:*
Vendors & Products Cisco
Cisco ios Xe

Wed, 25 Sep 2024 20:30:00 +0000

Type Values Removed Values Added
Metrics ssvc

{'options': {'Automatable': 'no', 'Exploitation': 'none', 'Technical Impact': 'partial'}, 'version': '2.0.3'}


Wed, 25 Sep 2024 16:45:00 +0000

Type Values Removed Values Added
Description A vulnerability in the web-based management interface of Cisco IOS XE Software could allow an unauthenticated, remote attacker to perform a cross-site request forgery (CSRF) attack and execute commands on the CLI of an affected device. This vulnerability is due to insufficient CSRF protections for the web-based management interface of an affected device. An attacker could exploit this vulnerability by persuading an already authenticated user to follow a crafted link. A successful exploit could allow the attacker to perform arbitrary actions on the affected device with the privileges of the targeted user.
Weaknesses CWE-352
References
Metrics cvssV3_1

{'score': 8.1, 'vector': 'CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H'}


cve-icon MITRE

Status: PUBLISHED

Assigner: cisco

Published:

Updated: 2024-09-25T19:28:46.296Z

Reserved: 2023-11-08T15:08:07.667Z

Link: CVE-2024-20437

cve-icon Vulnrichment

Updated: 2024-09-25T19:28:24.570Z

cve-icon NVD

Status : Analyzed

Published: 2024-09-25T17:15:16.630

Modified: 2024-10-24T19:45:01.540

Link: CVE-2024-20437

cve-icon Redhat

No data.

cve-icon OpenCVE Enrichment

No data.