La vulnerabilidad afecta a los siguientes productos de Cisco si ejecutan una versión vulnerable de Cisco IMC en la configuración predeterminada:
- 5000 Series Enterprise Network Compute Systems (ENCS).
- Catalyst 8300 Series Edge uCPE.
- UCS C-Series Rack Servers in standalone mode.
- UCS E-Series Servers.
Los dispositivos Cisco que se basen en una versión preconfigurada de un servidor Cisco UCS serie C. También, se ven afectados si exponen el acceso a la CLI de Cisco IMC. Para la información completa de dispositivos afectados, revisar la sección ‘Affected Products’ de las referencias.
James Muller ha reportado una vulnerabilidad de severidad alta, cuya explotación podrÃa permitir a un atacante elevar los privilegios a root.
Cisco ha publicado actualizaciones de software gratuitas que solucionan la vulnerabilidad descrita en este aviso. Los clientes con contratos de servicio que les den derecho a actualizaciones de software periódicas deben obtener las correcciones de seguridad a través de sus canales de actualización habituales.
Vulnerabilidad en la CLI de Cisco Integrated Management Controller (IMC), cuya explotación podrÃa permitir, a un atacante local autenticado, realizar ataques de inyección de comandos en el sistema operativo subyacente y elevar los privilegios a root. Para explotar esta vulnerabilidad, el atacante debe tener privilegios de sólo lectura o superiores en un dispositivo afectado.
El PSIRT de Cisco es consciente de que hay disponible un código de explotación de prueba de concepto para la vulnerabilidad descrita en este aviso. El PSIRT de Cisco no tiene conocimiento de ningún uso malicioso de la vulnerabilidad descrita en este aviso.
Se ha asignado el identificador CVE-2024-20295 para esta vulnerabilidad.
Ir a la fuente
Author:
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.