Cisco ha anunciado la existencia de una vulnerabilidad crítica en los dispositivos Cisco ACE (Application Control
Engine) 4710 que podría permitir a un atacante remoto sin autenticar tomar el control de
los dispositivos afectados.
La familia de
productos Cisco ACE (Application Control Engine) permite realizar una inteligente
(de nivel 4 y 7) de los servicios por múltiples dispositivos virtuales, con el
objeto de aumentar el rendimiento y conseguir la máxima disponibilidad. También
incluye protección contra amenazas y ataques a través de funcionalidades como
inspección de paquetes y seguridad a nivel de red y protocolo.
La interfaz
gráfica del administrador de los dispositivos Cisco ACE 4710 podría permitir a
un atacante remoto sin autenticar ejecutar cualquier comando de la interfaz de línea
de comandos (CLI) con privilegios de administrador. La vulnerabilidad reside en
una validación insuficiente de las entradas del usuario. Un atacante podría
construir una petición http post con comandos inyectados en un parámetro.
Cisco ha
publicado actualizaciones para todas estas versiones afectadas.
Más información:
Cisco ACE 4710 Application Control
Engine Command Injection Vulnerability
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario