Inicio / Alerta Temprana / Avisos Seguridad / Actualización para Cisco ACE Application Control Engine

Actualización para Cisco ACE Application Control Engine

Fecha de publicación: 
25/02/2016
Importancia: 
4 - Alta
Recursos afectados: 

Cisco ACE 4710 Application Control Engine.

Descripción: 

Cisco ha publicado una actualización de seguridad de su producto Cisco ACE Application Control Engine. Esta actualización resuelve una vulnerabilidad que permitiría a un atacante remoto ejecutar cualquier comando en CLI con privilegios de administrador.

Solución: 

Cisco ha publicado actualizaciones para los productos afectados.

Para obtener los parches, es necesario ponerse en contacto con su servicio técnico o visitar las paginas de descargas de actualizaciones de CISCO, Cisco Security Advisories and Responses archive.

Detalle: 

Cisco ACE 4710 Application Control Engine es vulnerable cuando se configuran los permisos para permitir el acceso a la GUI del Device Manager. La vulnerabilidad se produce por la insuficiente validación de los datos de acceso proporcionados por el usuario. El atacante podría aprovechar una petición HTTP POST inyectando comandos en los parámetros de la petición, permitiendo sortear las restricciones del RBAC -role-based access control-.