Inicio / Alerta Temprana / Avisos Seguridad / DoS y ejecución remota de código en varios productos de Cisco

DoS y ejecución remota de código en varios productos de Cisco

Fecha de publicación: 
06/06/2019
Importancia: 
4 - Alta
Recursos afectados: 
  • Expressway Series configurado para acceso móvil y remoto con IM&P Service, versiones desde X8.1 hasta X12.5.2
  • TelePresence VCS configurado para acceso móvil y remoto con IM&P Service, versiones desde X8.1 hasta X12.5.2
  • Unified Communications Manager IM&P Service, versiones:
    • 10.5(2)
    • 11.5(1)
    • 12.0(1)
  • Cisco Industrial Network Director, versiones anteriores a 1.6.0
Descripción: 

Cisco ha publicado una vulnerabilidad de denegación de servicio y otra de ejecución arbitraria de código que afectan a varios de sus productos.

Solución: 

Cisco ha publicado diversas actualizaciones en función del producto afectado, disponibles en su centro de descargas.

  • Expressway Series configurada para acceso móvil y remoto con IM&P Service, actualizar a la versión X12.5.3 o superior.
  • TelePresence VCS configurada para acceso móvil y remoto con IM&P Service, actualizar a la versión X12.5.3 o superior.
  • Unified Communications Manager IM&P Service:
    • para la versión 10.5(2), actualizar a 11.5(1) SU6 o 12.5(1)
    • para la versión 11.5(1), actualizar a 11.5(1) SU6
    • para la versión 12.0(1), actualizar a 12.5(1)
  • Cisco Industrial Network Director, actualizar a la versión 1.6.0 o superior.
Detalle: 
  • Un atacante remoto podría enviar una solicitud de autenticación malformada a Extensible Messaging and Presence Protocol (XMPP), pudiendo provocar un reinicio inesperado del servicio de autenticación y causar un condición de denegación de servicio (DoS). Se ha asignado el identificador CVE-2019-1845 para esta vulnerabilidad.
  • Una validación incorrecta de los archivos cargados en la aplicación podría permitir a un atacante autenticado con privilegios de administrador cargar un archivo arbitrario y ejecutar código. Se ha asignado el identificador CVE-2019-1861 para esta vulnerabilidad.

Encuesta valoración