Múltiples vulnerabilidades en la serie Cisco Expressway

Múltiples vulnerabilidades en la serie Cisco Expressway

Recursos Afectados

Dispositivos de la serie Cisco Expressway.

Descripción

Cisco ha publicado 3 vulnerabilidades: 2 de severidad crítica y 1 alta que podrían permitir que un atacante remoto, no autenticado, realice ataques de falsificación de solicitudes entre sitios (CSRF)  y acciones arbitrarias en un dispositivo afectado.

5 – Crítica
Solución

Cisco ha publicado actualizaciones que abordan las vulnerabilidades descritas en este aviso. 

Para más información se puede consultar el apartado de «Fixed Release» en el aviso oficial enlazado en «Referencias».

Detalle

Las vulnerabilidades CVE-2024-20252 y CVE-2024-20254 son de tipo falsificación de solicitudes entre sitios y afectan a la API de los dispositivos Cisco Expressway Series. Su explotación podría permitir al atacante realizar acciones arbitrarias con el nivel de privilegio del usuario afectado. Si el usuario afectado tiene privilegios administrativos, estas acciones podrían incluir modificar la configuración del sistema y crear nuevas cuentas privilegiadas.

La vulnerabilidad CVE-2024-20255 también es de tipo falsificación de solicitudes entre sitios. Su explotación podría permitir al atacante realizar acciones arbitrarias con el nivel de privilegio del usuario afectado. Si el usuario afectado tiene privilegios administrativos, estas acciones podrían incluir sobrescribir los ajustes de configuración del sistema, lo que podría impedir que el sistema procese las llamadas correctamente y provocar una condición de denegación de servicio (DoS).

Ir a la fuente
Author:
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.