Fecha de publicación: 04/08/2022
Importancia:
Crítica
Recursos afectados:
- Vulnerabilidades CVE-2022-20827 y CVE-2022-20841:
- RV160 y RV260 Series Routers, versión 1.0.01.05;
- RV340 y RV345 Series Routers, versión 1.0.03.26;
- Vulnerabilidad CVE-2022-20842: RV340 y RV345 Series Routers, versiones 1.0.03.26 y anteriores.
Descripción:
Varios investigadores han reportado 3 vulnerabilidades, 2 de severidad crítica y 1 alta, que podrían permitir a un atacante remoto, no autenticado, ejecutar código arbitrario o causar una condición de denegación de servicio (DoS) en el dispositivo Cisco afectado.
Solución:
Actualizar a:
- RV160 y RV260 Series Routers, versión 1.0.01.09;
- RV340 y RV345 Series Routers, versión 1.0.03.28.
Detalle:
Las vulnerabilidades críticas se describen a continuación:
- Esta vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario a la interfaz de gestión web. Un atacante podría explotar esta vulnerabilidad enviando una petición HTTP especialmente diseñada a un dispositivo afectado y ejecutar código arbitrario como usuario root en el sistema operativo subyacente u obligar que el dispositivo se reinicie. Se ha asignado el identificador CVE-2022-20842 para esta vulnerabilidad.
- Esta vulnerabilidad se debe a una validación insuficiente de la entrada. Un atacante podría explotarla enviando una petición especialmente diseñada a la función de actualización de la base de datos del filtro web, permitiendo al atacante ejecutar comandos en el sistema operativo subyacente con privilegios de root. Se ha asignado el identificador CVE-2022-20827 para esta vulnerabilidad.
Para la vulnerabilidad de severidad alta se ha asignado el identificador CVE-2022-20841.
Etiquetas:
Actualización, Cisco, Comunicaciones, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.