Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en productos Cisco

Múltiples vulnerabilidades en productos Cisco

Fecha de publicación: 
05/11/2015
Importancia: 
5 - Crítica
Recursos afectados: 
  • CVE-2015-6292, CVE-2015-6293, CVE-2015-6298 :Versiones desde la 8.0 a la 8.8 de Cisco AsyncOS Software del WSA
  • CVE-2015-6321: Diferentes versiones de Cisco AsyncOS en los productos Cisco Email Security Appliance, Cisco Content Security Managemenr Appliance y Cisco WSA. Para más información consultar aquí.
  • CVE-2015-6291: Cisco AsyncOS para ESA, versiones anteriores a la 9.6.
  • CVE-2015-6316 y CVE-2015-4282: Versiones anteriores a la 8.0.120.7 del MSE.
Descripción: 

Cisco ha publicado varias actualizaciones que corrigen diferentes vulnerabilidades en algunos de sus productos. Estos fallos pueden producir denegación de servicio, escalada de privilegios o inyección de comandos en los dispositivos afectados.

Solución: 

Se han publicado actualizaciones para todos los productos afectados en los enlaces siguientes:

Detalle: 

Las vulnerabilidades corregidas se detallan a continuación:

  • Denegación de servicio: Varios fallos en Cisco AsyncOS permiten a un atacante remoto y no autenticado generar una denegación de servicio. Se han reservado los identificadores CVE-2015-6292, CVE-2015-6321, CVE-2015-6293 y CVE-2015-6291 para esta vulnerabilidad.
  • Inyección de comandos: Una vulnerabilidad en el proceso de generación de certificados del interfaz web en el Cisco Web Security Appliance (WSA) podrían permitir a un atacante remoto autenticado la ejecución de código arbitrario con privilegios de administrador. Se ha reservado el identificador CVE-2015-6298
  • Credenciales estáticas: Una vulnerabilidad en el Cisco Mobility Services Engine (MSE) podría permitir a un atacante remoto y no autenticado acceder al MSE con la cuenta por defecto oracle, con privilegios de administrador. Se ha reservado el CVE-2015-6316 para esta vulnerabilidad.
  • Escalada de privilegios: Un error en el MSE podría permitir a un atacante autenticado y local la escalada de privilegios hasta llegar a administrador. Se ha reservado el CVE-2015-4282 para este error.