MĂșltiples vulnerabilidades en productos de Cisco

Fecha de publicaciĂłn: 20/04/2023

Importancia:
CrĂ­tica

Recursos afectados:

  • Industrial Network Director (IND), versiones:
    • anteriores a 1.10;
    • 1.10 y posteriores.
  • Modeling Labs, versiones:
    • 2.3;
    • 2.4;
    • 2.5.
  • StarOS Software, versiones:
    • anteriores a 21.22;
    • 21.22;
    • 21.22.n;
    • 21.23;
    • 21.23.n;
    • 21.24;
    • 21.25;
    • 21.26;
    • 21.27;
    • 21.27.m;
    • 21.28;
    • 21.28.m.
  • BroadWorks Network Server, versiones:
    • 22.0;
    • 23.0;
    • Release Independent (RI).

DescripciĂłn:

Cisco ha publicado 4 avisos de seguridad que recogen 5 vulnerabilidades: 2 de severidad crĂ­tica, 2 altas y 1 media. La explotaciĂłn de estas vulnerabilidades podrĂ­a permitir a un atacante ejecutar comandos arbitrarios, visualizar informaciĂłn sensible, escalar privilegios e interrumpir el normal funcionamiento del producto afectado.

SoluciĂłn:

Consultar la secciĂłn Fixed Releases de cada aviso para identificar y aplicar las actualizaciones requeridas desde Security Software Updates.

Detalle:

Las vulnerabilidades crĂ­ticas se describen a continuaciĂłn:

  • Una vulnerabilidad en la interfaz web de usuario de Cisco IND podrĂ­a permitir a un atacante remoto, autenticado, ejecutar comandos arbitrarios con privilegios administrativos en el sistema operativo subyacente de un dispositivo afectado, debido a una validaciĂłn de entrada incorrecta al cargar un Device Pack. Se ha asignado el identificador CVE-2023-20036 para esta vulnerabilidad.
  • Una vulnerabilidad en el mecanismo de autenticaciĂłn externa de Cisco Modeling Labs podrĂ­a permitir a un atacante remoto, no autenticado, acceder a la interfaz web con privilegios administrativos, debido al tratamiento incorrecto de determinados mensajes devueltos por el servidor de autenticaciĂłn externo asociado. Se ha asignado el identificador CVE-2023-20154 para esta vulnerabilidad.

Para el resto de vulnerabilidades no crĂ­ticas se han asignado los identificadores CVE-2023-20046, CVE-2023-20125 y CVE-2023-20039.

Encuesta valoraciĂłn

Etiquetas:
ActualizaciĂłn, Cisco, Comunicaciones, Infraestructuras crĂ­ticas, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.