sábado, 4 de febrero de 2017

Salto de autenticación en Cisco Prime Home

Cisco ha confirmado una vulnerabilidad en la interfaz basada en web de Cisco Prime Home que podría permitir a un atacante remoto sin autenticar conseguir evitar la autenticación y ejecutar acciones con privilegios de administrador.

El problema, con CVE-2017-3791, se debe a un error de procesamiento de las URLs en el control de acceso basado en roles (RBAC). Un atacante podría explotar esta vulnerabilidad mediante el envío de comandos API a través de HTTP a una URL determinada sin autenticación previa. Un exploit podría permitir al atacante realizar cualquier acción en Cisco Prime Home con privilegios de administrador.

El problema afecta a todas las versiones de Cisco Prime Home desde la 6.3.0.0. Se ha solucionado en la versión de Cisco Prime Home 6.5.0.1.

Más información:

Cisco Prime Home Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170201-prime-home



Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Etiquetas: ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017