Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en productos de Cisco

Múltiples vulnerabilidades en productos de Cisco

Fecha de publicación: 
21/01/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • Cisco DNA Center Software, versiones 1.3.1.0 y anteriores;
  • Cisco Smart Software Manager Satellite, versiones 5.1.0 y anteriores;
  • los siguientes productos, si ejecutan una versión vulnerable de Cisco SD-WAN Software:
    • SD-WAN vBond Orchestrator Software;
    • SD-WAN vEdge Cloud Routers;
    • SD-WAN vEdge Routers;
    • SD-WAN vManage Software;
    • SD-WAN vSmart Controller Software;
    • IOS XE SD-WAN Software.
Descripción: 

Se han identificado 14 vulnerabilidades en productos de Cisco, de las que 6 son de severidad crítica y podrían permitir a un atacante remoto ejecutar comandos arbitrarios o provocar una condición de desbordamiento de búfer.

Solución: 

Las actualizaciones que corrigen las vulnerabilidades indicadas se pueden descargar desde el panel de descarga de Software de Cisco. Para información más detallada, consulte la sección Referencias.

Detalle: 

Un atacante remoto y no autenticado podría ejecutar comandos arbitrarios aprovechando una validación incorrecta de entrada en la interfaz de usuario web de SD-WAN vManage Software, en la herramienta Command Runner de DNA Center o en la interfaz de usuario web Smart Software Manager Satellite, enviando una entrada especialmente diseñada. Se han asignado los identificadores CVE-2021-1299, CVE-2021-1264, CVE-2021-1138, CVE-2021-1140 y CVE-2021-1142 para estas vulnerabilidades, respectivamente.

Una vulnerabilidad de manejo incorrecto del tráfico IP podría permitir a un atacante enviar tráfico IP, especialmente diseñado, y provocar un desbordamiento de búfer. Se ha asignado el identificador CVE-2021-1300 para esta vulnerabilidad.

Para las vulnerabilidades de severidad alta se han asignado los identificadores CVE-2021-1261, CVE-2021-1260, CVE-2021-1139 y CVE-2021-1141.
Para las vulnerabilidades de severidad media se han asignado los identificadores CVE-2021-1263, CVE-2021-1262, CVE-2021-1298 y CVE-2021-1301.

Encuesta valoración