Múltiples vulnerabilidades en productos Cisco

Fecha de publicación: 28/02/2019

Importancia:
Crítica

Recursos afectados:

  • Cisco RV110W Wireless-N VPN Firewall, versiones anteriores a 1.2.2.1
  • Cisco RV130W Wireless-N Multifunction VPN Router, versiones anteriores a 1.0.3.45
  • Cisco RV215W Wireless-N VPN Router, versiones anteriores a 1.3.1.1
  • Cisco Webex Meetings Desktop App, versiones anteriores a 33.6.6
  • Cisco Webex Productivity Tools, versiones 32.6.0 y posteriores, pero anteriores a 33.0.7

Descripción:

Se ha publicado una vulnerabilidad de severidad crítica que permite a un atacante remoto, sin autenticar, la ejecución de código arbitrario en el dispositivo afectado, y otra vulnerabilidad de severidad alta que permite a un atacante local autenticado ejecutar comandos arbitrarios como usuario con privilegios.

Solución:

Cisco ha corregido estas vulnerabilidades en las siguientes versiones de los productos afectados, que pueden descargarse desde el panel de descarga de software:

  • Cisco RV110W Wireless-N VPN Firewall, versión 1.2.2.1
  • Cisco RV130W Wireless-N Multifunction VPN Router, versión 1.0.3.45
  • Cisco RV215W Wireless-N VPN Router, versión 1.3.1.1
  • Cisco Webex Meetings Desktop App, versiones 33.6.6 y 33.9.1
  • Cisco Webex Productivity Tools, versión 33.0.7

Detalle:

  • La vulnerabilidad crítica se origina debido a la validación incorrecta de los datos suministrados por el usuario en la interfaz de gestión basada en web. Un atacante podría explotar esta vulnerabilidad enviando solicitudes HTTP maliciosas a un dispositivo específico, lo que daría la posibilidad al atacante de ejecutar código arbitrario en el sistema operativo subyacente del dispositivo afectado como usuario con altos privilegios. Se ha asignado el identificador CVE-2019-1663 para esta vulnerabilidad.
  • La vulnerabilidad alta se debe a la insuficiente validación de los parámetros suministrados por el usuario. Un atacante podría explotar esta vulnerabilidad invocando el comando update service con un argumento especialmente diseñado, lo que permitiría al atacante ejecutar comandos arbitrarios con privilegios de usuario de SYSTEM. Se ha reservado el identificador CVE-2019-1674 para esta vulnerabilidad

Encuesta valoración

Etiquetas:
Actualización, Cisco, Vulnerabilidad

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.