VDB
CVE-2024-20414
CVE-2024-20414
PUBLISHED
Es besteht eine Schwachstelle in Cisco IOS und Cisco IOS XE. Dieser Fehler existiert in der Web-UI-Funktion wegen einer fehlerhaften Annahme von Konfigurationsänderungen über die HTTP GET-Methode, die eine Cross-Site Request Forgery (CSRF) ermöglicht. Indem ein authentifizierter Administrator dazu gebracht wird, einem manipulierten Link zu folgen, kann ein entfernter, anonymer Angreifer diese Schwachstelle ausnutzen, um die Konfiguration des betroffenen Geräts zu ändern. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion.
EPSS 0.32% · 55.6th percentile
Risk Scores
EPSS Score
0.32%
55.6th percentile
Affected Products
| Vendor | Product | Versions |
|---|---|---|
| Cisco | Cisco IOS XE | |
| Cisco | Cisco IOS |
Exploit Intelligence
- CIRCL seen: CVE-2024-20414 (circl-sighting)
- cisco-sa-ios-webui-HfwnRgk (circl)
Timeline
- Sep 25, 2024 CVE Published
- Sep 25, 2024 PoC Published
- Sep 26, 2024 EPSS Score
- Oct 4, 2024 Coalition ESS Score
- Oct 15, 2024 EPSS Score
- Nov 4, 2024 EPSS Score
- Nov 23, 2024 EPSS Score
- Dec 13, 2024 EPSS Score
- Jan 2, 2025 EPSS Score
- Jan 21, 2025 EPSS Score
- Feb 9, 2025 EPSS Score
- Feb 28, 2025 EPSS Score
References
- https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-2223.json advisory
- https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-2223 advisory
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ios-webui-HfwnRgk advisory
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rsvp-dos-OypvgVZf advisory