Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en productos Cisco

Múltiples vulnerabilidades en productos Cisco

Fecha de publicación: 
23/01/2020
Importancia: 
5 - Crítica
Recursos afectados: 
  • Cisco FMC Software, si está configurado para autenticar a los usuarios de la interfaz web de gestión a través de un servidor LDAP externo;
  • Cisco TelePresence:
    • Integrator C Series;
    • MX Series;
    • SX Series;
    • System EX Series.
  • Cisco Webex:
    • Board;
    • DX Series;
    • Room Series.
  • Cisco IOS XE SD-WAN Software, versiones 16.11 y anteriores;
  • Cisco SD-WAN Solution vManage Software, versión 18.4.1;
  • Cisco Smart Software Manager On-Prem. versiones anteriores a 7-201910;
  • Cisco IOS XR Software, versiones posteriores a 6.6.1, o anteriores a 6.6.3, 7.0.2, 7.1.1, o 7.2.1.
Descripción: 

Se han identificado 12 vulnerabilidades en productos Cisco, una de severidad crítica y el resto de severidad alta, que podrían permitir omisión de autenticación en LDAP, acceso a rutas no controlado, credenciales por defecto, escalada de privilegios o denegación de servicio.

Solución: 

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden descargarse desde el panel de descarga de Software de Cisco.

Detalle: 
  • La vulnerabilidad de severidad crítica podría permitir a un atacante remoto, no autenticado, omitir la autenticación del protocolo LDAP y realizar acciones arbitrarias con privilegios de administrador en el dispositivo afectado. Se ha reservado el identificador CVE-2019-16028 para esta vulnerabilidad.
  • El resto de vulnerabilidades, de severidad alta, podrían permitir realizar los siguientes tipos de ataque:
    • acceso a rutas no controlado;
    • uso de credenciales por defecto;
    • escalada local de privilegios;
    • denegación de servicio.

Para las vulnerabilidades de severidad alta, se han reservado los siguientes identificadores: CVE-2020-3143, CVE-2019-1950, CVE-2020-3115, CVE-2019-16029, CVE-2019-16018, CVE-2019-16019, CVE-2019-16020, CVE-2019-16021, CVE-2019-16022, CVE-2019-16023 y CVE-2019-16027.

Encuesta valoración