Fecha de publicación: 03/03/2022
Importancia:
Crítica
Recursos afectados:
Cisco Expressway Series y Cisco TelePresence VCS, versión 14.0 y anteriores.
Descripción:
Jason Crowder, investigador de Cisco ASIG (Advanced Security Initiatives Group), durante unas pruebas de seguridad internas, descubrió 2 vulnerabilidades críticas que podrían permitir a un atacante remoto autenticado, con privilegios de lectura/escritura en la aplicación, escribir archivos o ejecutar código arbitrario en el sistema operativo subyacente de un dispositivo afectado con privilegios de root.
Solución:
Actualizar Cisco Expressway Series y Cisco TelePresence VCS a la versión 14.0.5.
Detalle:
Las 2 vulnerabilidades, identificadas en la API de la base de datos del clúster y en la interfaz de gestión basada en la web respectivamente, originadas por una insuficiente validación de entrada de los argumentos de comandos suministrados por el usuario, podrían explotarse autenticándose en el sistema como administrador y enviando una entrada especialmente diseñada al comando afectado. Se han asignado los identificadores CVE-2022-20754 y CVE-2022-20755 para estas vulnerabilidades.
Etiquetas:
Actualización, Cisco, Comunicaciones, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.