Cisco
ha publicado 23 boletines de seguridad
para solucionar otras tantas vulnerabilidades (tres de gravedad alta y el resto de importancia media) en múltiples
productos que podrían permitir provocar denegaciones de servicio, cross-site
scripting, inyección SQL, ejecutar código arbitrario, acceder al dispositivo
sin autorización entre otros ataques.
Los productos afectados son
- Cisco Virtualized Packet Core-Distributed Instance
- Cisco WebEx Network Recording Player
- Cisco Prime Infrastructure y Evolved Programmable Network Manager
- Cisco Wide Area Application Services
- Cisco Unified Contact Center Express
- Cisco Prime Collaboration Provisioning
- Cisco Identity Services Engine
- Cisco IOS XR Software
- Cisco Firepower Management Center
- Cisco SocialMiner
- Cisco StarOS for ASR 5000 Series Routers
El primer
problema considerado de gravedad alta afecta al software Cisco
Virtualized Packet Core−Distributed Instance (VPC−DI) en el tratamiento de entrada
de paquetes UDP. Podría permitir a un atacante remoto sin autenticar provocar
condiciones de denegación de servicio (CVE-2017-6678).
También de gravedad alta, múltiples
desbordamientos
de búfer en Cisco WebEx Network Recording Player para archivos Advanced
Recording Format (ARF). Mediante un archivo ARF malicioso un atacante podría
conseguir la ejecución remota de código arbitrario (CVE-2017-6669).
La tercera vulnerabilidad de
gravedad alta, con CVE-2017-6662, afecta a la interfaz web de Cisco Prime Infrastructure
(PI) y Evolved Programmable Network Manager (EPNM) por el tratamiento de
Entidades Externas XML (XXE). Podría permitir a un atacante remoto autenticado leer
y escribir el acceso a la información almacenada en el sistema afectado, así
como lograr la ejecución de código.
Otros problemas de gravedad media
son:
- Denegación de servicio en Cisco Wide Area Application Services
- Autenticación sin cifrar en Cisco Unified Contact Center Express
- Cross-Site Scriptings en Cisco Prime Infrastructure Web Framework Code
- Inyección SQL en Cisco Prime Infrastructure y Evolved Programmable Network Manager
- Obtención de información de logs en Cisco Prime Collaboration Provisioning Tool
- Obtención de información sensible en Cisco Prime Collaboration Provisioning Tool
- Descarga de archives arbitrarios en Cisco Prime Collaboration Provisioning Tool
- Falsificación de session en Cisco Prime Collaboration Provisioning Tool
- Cross-Site Scripting en Cisco Identity Services Engine
- Elevación de privilegios en Cisco IOS XR
- Inyección de commandos en Cisco IOS XR
- Cross-Site Scripting en Cisco Firepower Management Center
- Cross-Site Scripting almacenado en Cisco Firepower Management Center
- Cross-Site Scripting en Cisco SocialMiner
- Denegación de servicio en routers Cisco StarOS for ASR 5000
Cisco ha publicado actualizaciones
para las vulnerabilidades consideradas de gravedad alta. Se
recomienda consultar las alertas publicadas para obtener información sobre
disponibilidad de parches y actualizaciones.
Más información:
Cisco Security Advisories and
Alerts
Cisco Virtualized Packet Core-Distributed
Instance Denial of Service Vulnerability
Cisco WebEx Network Recording Player Multiple
Buffer Overflow Vulnerabilities
Cisco Prime Infrastructure and Evolved
Programmable Network Manager XML Injection Vulnerability
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario