Inicio / Alerta Temprana / Avisos Seguridad / Escalado de privilegios en Cisco UCS

Escalado de privilegios en Cisco UCS

Fecha de publicación: 
16/02/2017
Importancia: 
5 - Crítica
Recursos afectados: 

Versiones 6.0.0.0 y 6.0.0.1 del Cisco UCS

Descripción: 

Se ha detectado una vulnerabilidad que permite a un usuario local autenticado la ejecución de flujos de trabajo arbitrario unicamente con un perfil de usuario final. 

Solución: 

Cisco ha publicado una la versión de UCS Director 6.0.1.0, que corrige esta vulnerabilidad.

Detalle: 

La gestión inadecuada del acceso basado en roles una vez que se habilita el menú de desarrollador podría permitir a un atacante habilitar, a través de su usuario, dicho menú. Con esto el usuario puede  añadir nuevos catálogos con items de flujo de trabajo arbitrario arbitrarios a su perfil, lo que le permitiría generar flujos con acciones que afecten otros usuarios.