发布日期：2019-06-12
更新日期：2019-06-18

受影响系统：

Cisco IOS 16.3.1
Cisco IOS 16.2.1
Cisco IOS 16.1.3

不受影响系统：

Cisco IOS Everest-16.4.1
Cisco IOS 16.4.1

描述：

---

BUGTRAQ  ID: 108737
CVE(CAN) ID: CVE-2019-1904

IOS XE是一系列的思科系统 “广泛部署的互联网操作系统（IOS），用引入的ASR 1000系列。它建立在Linux之上，提供了一种分布式软件架构，可以将许多操作系统职责移出IOS流程，并且有一份IOS作为一个单独的流程运行。由于它运行IOS的副本，因此所有CLI命令在Cisco IOS和IOS XE之间是相同的，而IOS XR具有完全不同的代码库，并且其开发人员实现了不同的CLI命令集。

Cisco IOS XE软件容易出现跨站点请求伪造漏洞。

攻击者可以利用此问题执行某些管理操作，并获得对受影响应用程序的未授权访问。

<*来源：思科
  
  链接：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190612-iosxe-csrf
*>

建议：

---

厂商补丁：

Cisco
-----
Cisco已经为此发布了一个安全公告（SA-20190612-iosxe-CSRF）以及相应补丁:
SA-20190612-iosxe-CSRF：Cisco IOS XE Software Web UI Cross-Site Request Forgery Vulnerability
链接：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190612-iosxe-csrf

补丁下载：

浏览次数：1311
严重程度：0（网友投票）