anonhaven

CVE-2021-35486

HIGH CVSS 3.1: 8,1 EPSS 0.02%
Обновлено 4 марта 2026
Параметр Значение
CVSS 8,1 (HIGH)
Тип уязвимости CWE-352 (Cross-Site Request Forgery (CSRF) (Подделка межсайтовых запросов))
Публичный эксплойт Нет

Уязвимость межсайтовой подделки запросов (CSRF) в Nokia IMPACT через 19.11.2.10-20210118042150283 позволяет удаленному злоумышленнику импортировать и перезаписать всю конфигурацию приложения. В частности, в /ui/rest-proxy/entity/import ни HTTP-заголовок X-CSRF-NONCE, ни файл cookie CSRF-NONCE не проверяются.

Показать оригинальное описание (EN)

A Cross-Site Request Forgery (CSRF) vulnerability in Nokia IMPACT through 19.11.2.10-20210118042150283 allows a remote attacker to import and overwrite the entire application configuration. Specifically, in /ui/rest-proxy/entity/import, neither the X-CSRF-NONCE HTTP header nor the CSRF-NONCE cookie is validated.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Требуется
Нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-352 Cross-Site Request Forgery (CSRF) (Подделка межсайтовых запросов)

Ссылки 3

https://www.gruppotim.it/it/footer/red-team/2021/Motive-Impact-CVE-2021-35486.h…
cve@mitre.org
https://www.nokia.com/networks/solutions/impact-iot-platform/
cve@mitre.org
https://www.nokia.com/notices/responsible-disclosure/
cve@mitre.org
Share Post Share Share Share