Escalado de privilegios en Cisco UCS
Fecha de publicación:
16/02/2017
Importancia:
5 -
Crítica
Recursos afectados:
Versiones 6.0.0.0 y 6.0.0.1 del Cisco UCS
Descripción:
Se ha detectado una vulnerabilidad que permite a un usuario local autenticado la ejecución de flujos de trabajo arbitrario unicamente con un perfil de usuario final.
Solución:
Cisco ha publicado una la versión de UCS Director 6.0.1.0, que corrige esta vulnerabilidad.
Detalle:
La gestión inadecuada del acceso basado en roles una vez que se habilita el menú de desarrollador podría permitir a un atacante habilitar, a través de su usuario, dicho menú. Con esto el usuario puede añadir nuevos catálogos con items de flujo de trabajo arbitrario arbitrarios a su perfil, lo que le permitiría generar flujos con acciones que afecten otros usuarios.
Etiquetas: