Fecha de publicación: 20/04/2023
Importancia:
Crítica
Recursos afectados:
- Industrial Network Director (IND), versiones:
- anteriores a 1.10;
- 1.10 y posteriores.
- Modeling Labs, versiones:
- 2.3;
- 2.4;
- 2.5.
- StarOS Software, versiones:
- anteriores a 21.22;
- 21.22;
- 21.22.n;
- 21.23;
- 21.23.n;
- 21.24;
- 21.25;
- 21.26;
- 21.27;
- 21.27.m;
- 21.28;
- 21.28.m.
- BroadWorks Network Server, versiones:
- 22.0;
- 23.0;
- Release Independent (RI).
Descripción:
Cisco ha publicado 4 avisos de seguridad que recogen 5 vulnerabilidades: 2 de severidad crítica, 2 altas y 1 media. La explotación de estas vulnerabilidades podría permitir a un atacante ejecutar comandos arbitrarios, visualizar información sensible, escalar privilegios e interrumpir el normal funcionamiento del producto afectado.
Solución:
Consultar la sección Fixed Releases de cada aviso para identificar y aplicar las actualizaciones requeridas desde Security Software Updates.
Detalle:
Las vulnerabilidades críticas se describen a continuación:
- Una vulnerabilidad en la interfaz web de usuario de Cisco IND podría permitir a un atacante remoto, autenticado, ejecutar comandos arbitrarios con privilegios administrativos en el sistema operativo subyacente de un dispositivo afectado, debido a una validación de entrada incorrecta al cargar un Device Pack. Se ha asignado el identificador CVE-2023-20036 para esta vulnerabilidad.
- Una vulnerabilidad en el mecanismo de autenticación externa de Cisco Modeling Labs podría permitir a un atacante remoto, no autenticado, acceder a la interfaz web con privilegios administrativos, debido al tratamiento incorrecto de determinados mensajes devueltos por el servidor de autenticación externo asociado. Se ha asignado el identificador CVE-2023-20154 para esta vulnerabilidad.
Para el resto de vulnerabilidades no críticas se han asignado los identificadores CVE-2023-20046, CVE-2023-20125 y CVE-2023-20039.
Etiquetas:
Actualización, Cisco, Comunicaciones, Infraestructuras críticas, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.