Facebook Instagram Linkedin

C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

MĂșltiples vulnerabilidades en productos Cisco

In Noticias y Avisos CiberseguridadPosted

Fecha de publicaciĂłn: 03/02/2022

Importancia:
CrĂ­tica

Recursos afectados:

  • RV160 VPN Routers,
  • RV160W Wireless-AC VPN Routers,
  • RV260 VPN Routers,
  • RV260P VPN Routers con PoE,
  • RV260W Wireless-AC VPN Routers,
  • RV340 Dual WAN Gigabit VPN Routers,
  • RV340W Dual WAN Gigabit Wireless-AC VPN Routers,
  • RV345 Dual WAN Gigabit VPN Routers,
  • RV345P Dual WAN Gigabit POE VPN Routers.

DescripciĂłn:

Se han publicado mĂșltiples vulnerabilidades en productos de Cisco que podrĂ­an permitir a un atacante ejecutar cĂłdigo arbitrario, escalar privilegios, ejecutar comandos arbitrarios, omisiĂłn de autenticaciĂłn, ejecutar software no firmado o denegar el servicio.

SoluciĂłn:

Actualizar a la Ășltima versiĂłn.

No hay medidas de mitigaciĂłn adicionales.

Detalle:

Algunas de las vulnerabilidades son dependientes entre sĂ­, es decir, su explotaciĂłn puede ser necesaria para explotar otra vulnerabilidad.

  • Una vulnerabilidad en el mĂłdulo SSL VPN de los routers Cisco Small Business RV340, RV340W, RV345 y RV345P Dual WAN Gigabit VPN podrĂ­a permitir a un atacante remoto, no autentificado, ejecutar cĂłdigo arbitrario en un dispositivo afectado. Se ha asignado el identificador CVE-2022-20699 para esta vulnerabilidad.
  • MĂșltiples vulnerabilidades de mecanismos de autenticaciĂłn insuficientes en la interfaz de gestiĂłn basada en web de los routers Cisco Small Business RV Series podrĂ­an permitir a un atacante remoto la escalada de privilegios a root mediante el envĂ­o de comandos especialmente diseñados. Se han asignado los identificadores CVE-2022-20700, CVE-2022-20701 y CVE-2022-20702 para estas vulnerabilidades.
  • La verificaciĂłn inadecuada de las imĂĄgenes de software cuando se instalan en un dispositivo afectado podrĂ­an permitir a un atacante instalar y arrancar una imagen de software malicioso o ejecutar binarios no firmados en el dispositivo mediante la carga de software no firmado en el dispositivo. Se ha asignado el identificador CVE-2022-20703 para esta vulnerabilidad.

  • La validaciĂłn insuficiente de la entrada suministrada por el usuario podrĂ­a permitir a un atacante ejecutar comandos arbitrarios en el sistema operativo Linux subyacente, mediante el envĂ­o de entradas maliciosas a un dispositivo afectado. Se han asignado los identificadores CVE-2022-20708, CVE-2022-20707 y CVE-2022-20749.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2022-20704, CVE-2022-20705, CVE-2022-20706,  CVE-2022-20709, CVE-2022-20710, CVE-2022-20711 y CVE-2022-20712.

Encuesta valoraciĂłn

Etiquetas:
ActualizaciĂłn, Cisco, Comunicaciones, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.