Cisco
ha confirmado una
vulnerabilidad en el entorno web de Cisco
Unified Computing System (UCS) Performance Manager que podría permitir a un
atacante remoto sin autenticar ejecutar
comandos arbitrarios en los sistemas afectados.
La solución Unified
Communications de Cisco es un conjunto de productos y aplicaciones de
comunicaciones que reúne e integra voz, vídeo y datos. Cisco Unified Computing
System es una nueva plataforma de data center que unifica cómputo, redes,
acceso a almacenamiento y virtualización en un sistema unificado.
El problema, con CVE-2016-1374, se
debe a la insuficiente validación de las entradas de los parámetros pasados a
través de una petición HTTP GET. Un atacante podría explotar esta
vulnerabilidad mediante el envío al sistema afectado de peticiones HTTP GET
específicamente construidas, lo que le permitiría ejecutar comandos arbitrarios
con privilegios de usuario root.
Se ven afectados los sistemas Cisco UCS Performance Manager versiones 2.0.0 y anteriores. Cisco
ha publicado la versión 2.0.1 para solucionar esta vulnerabilidad.
Más información:
Cisco Unified Computing System Performance
Manager Input Validation Vulnerability
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario