Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en Cisco Integrated Management Controller

Múltiples vulnerabilidades en Cisco Integrated Management Controller

Fecha de publicación: 
23/05/2017
Importancia: 
5 - Crítica
Recursos afectados: 
  • Cisco Integrated Management Controller (IMC) 3.0.1c.
Descripción: 

Se han reportado dos vulnerabilidades en Cisco Integrated Management Controller, una de ellas crítica, que podrían permitir a atacantes remotos la ejecución de código y la elevación de privilegios.

Solución: 

Esta vulneravilidad se corrige en las versiones 3.0.1d, 3.0.3a, y posteriores. Pueden descargarse desde: Panel de descarga de Software Cisco.

Detalle: 

El detalle de las vulnerabilidades es el siguiente:

  • Vulnerabilidad crítica en la GUI basada en web de Cisco Integrated Management Controller (CIMC): podría permitir que un atacante remoto no autenticado realice una ejecución de comandos no autorizados en el dispositivo afectado. El software afectado no sanea suficientemente los valores específicos que se reciben como parte de una solicitud HTTP proporcionada por el usuario. Un atacante podría explotar esta vulnerabilidad enviando una solicitud HTTP manipulada que permitiría a un atacante no autenticado ejecutar comandos del sistema con privilegios de root.

  • Vulnerabilidad en la GUI basada en web de Cisco Integrated Management Controller (CIMC): podría permitir a un atacante remoto autenticado elevar los privilegios de las cuentas de usuario en el dispositivo afectado. La vulnerabilidad se debe a una insuficiente validación de entrada. Un atacante podría explotar esta vulnerabilidad mediante el envío de peticiones HTTP manipuladas que permitiría a un atacante autenticado elevar los privilegios de las cuentas de usuario configuradas en el dispositivo.