Vulnerability Details : CVE-2021-1374
A vulnerability in the web-based management interface of Cisco IOS XE Wireless Controller software for the Catalyst 9000 Family of switches could allow an authenticated, remote attacker to conduct a cross-site scripting (XSS) attack against another user of the web-based management interface of an affected device. The vulnerability is due to insufficient validation of user-supplied input by the web-based management interface of an affected device. An attacker could exploit this vulnerability by authenticating to the device as a high-privileged user, adding certain configurations with malicious code in one of its fields, and persuading another user to click on it. A successful exploit could allow the attacker to execute arbitrary script code in the context of the affected interface or to access sensitive, browser-based information.
Vulnerability category: Cross site scripting (XSS)
Products affected by CVE-2021-1374
- cpe:2.3:o:cisco:ios_xe:16.9.3a:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.9.3s:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.6.1:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.8.1:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.6.2:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.7.1:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.9.1:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.6.5:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.12.1:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.6.4:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.10.1:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.11.1:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:17.1.1:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.8.1s:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.8.1b:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.8.1a:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.8.1e:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.8.1d:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.7.1b:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.8.1c:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.7.1a:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.6.3:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.8.2:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.7.2:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.7.3:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.9.1c:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.9.1b:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.9.1s:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.9.2:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.6.4s:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.6.4a:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.9.2a:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.9.1d:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.9.1a:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.7.4:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.8.3:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.9.2s:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.9.3:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.9.3h:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.9.4:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.9.4c:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.9.5:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.9.5f:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.10.1a:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.10.1b:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.10.1c:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.10.1d:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.10.1e:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.10.1f:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.10.1g:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.10.1s:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.10.2:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.10.3:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.11.1b:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.11.1c:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.11.1s:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.11.2:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.12.1a:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.12.1c:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.12.1s:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.12.1t:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.12.1w:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.12.1x:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.12.1y:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.12.1z:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.12.2:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.12.2a:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.12.2s:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.12.2t:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.12.3a:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.12.3s:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:17.1.1a:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:17.1.1s:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:17.1.1t:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:17.1.2:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:17.2.1a:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:17.2.1r:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:17.2.1v:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.11.1a:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.12.3:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:17.2.1:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.6.5a:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.6.5b:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.6.6:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.6.7:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.6.7a:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.6.8:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.12.4:*:*:*:*:*:*:*
- cpe:2.3:o:cisco:ios_xe:16.12.4a:*:*:*:*:*:*:*
Exploit prediction scoring system (EPSS) score for CVE-2021-1374
0.07%
Probability of exploitation activity in the next 30 days
EPSS Score History
~ 27 %
Percentile, the proportion of vulnerabilities that are scored at or less
CVSS scores for CVE-2021-1374
Base Score | Base Severity | CVSS Vector | Exploitability Score | Impact Score | Score Source | First Seen |
---|---|---|---|---|---|---|
3.5
|
LOW | AV:N/AC:M/Au:S/C:N/I:P/A:N |
6.8
|
2.9
|
NIST | |
4.8
|
MEDIUM | CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
1.7
|
2.7
|
Cisco Systems, Inc. | |
4.8
|
MEDIUM | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
1.7
|
2.7
|
NIST |
CWE ids for CVE-2021-1374
-
The product does not neutralize or incorrectly neutralizes user-controllable input before it is placed in output that is used as a web page that is served to other users.Assigned by: ykramarz@cisco.com (Primary)
References for CVE-2021-1374
-
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ewlc-xss-cAfMtCzv
Cisco IOS XE Wireless Controller Software for the Catalyst 9000 Family Stored Cross-Site Scripting VulnerabilityVendor Advisory
Jump to