Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en Small Business Switches de Cisco

Múltiples vulnerabilidades en Small Business Switches de Cisco

Fecha de publicación: 
30/01/2020
Importancia: 
4 - Alta
Recursos afectados: 
  • Los siguientes productos Cisco que utilicen un firmware anterior a la versión 2.5.0.92:
    • 200 Series Smart Switches;
    • 300 Series Managed Switches;
    • 500 Series Stackable Managed Switches;
    • 550X Series Stackable Managed Switches.
  • Los siguientes productos Cisco que utilicen un firmware anterior a la versión 1.4.11.4:
    • 200 Series Smart Switches;
    • 300 Series Managed Switches;
    • 500 Series Stackable Managed Switches.
  • Los siguientes productos Cisco que utilicen un firmware anterior a la versión 1.3.7.18:
    • 200 Series Smart Switches;
    • 300 Series Managed Switches;
    • 500 Series Stackable Managed Switches.
Descripción: 

El investigador, Ken Pyle, de DFDR Consulting LLC, ha notificado a Cisco la existencia de dos vulnerabilidades de criticidad alta en sus Small Business Switches. Un atacante remoto, sin autenticación, podría generar una condición de denegación de servicio (DoS) o acceder a información sensible de los dispositivos.

Solución: 
  • Actualizar los siguientes productos de Cisco a la versión de firmware 2.5.0.92: (CVE-2019-15993)
    • 200 Series Smart Switches;
    • 300 Series Managed Switches;
    • 500 Series Stackable Managed Switches;
    • 550X Series Stackable Managed Switches.
  • Actualizar los siguientes productos de Cisco a la versión de firmware 1.4.11.4: (CVE-2019-15993)
    • 200 Series Smart Switches;
    • 300 Series Managed Switches;
    • 500 Series Stackable Managed Switches.
  • Actualizar los siguientes productos de Cisco a la versión de firmware 1.3.7.18: (CVE-2020-3147)
    • 200 Series Smart Switches;
    • 300 Series Managed Switches;
    • 500 Series Stackable Managed Switches.
Detalle: 
  • Una vulnerabilidad en la interfaz de usuario web podría permitir a un atacante remoto, no autenticado, enviar una petición HTTP maliciosa y obtener información sensible del dispositivo. Se ha reservado el identificador CVE-2019-15993 para esta vulnerabilidad.
  • Una falta de validación en las peticiones enviadas a la interfaz web podrían permitir a un atacante remoto enviar peticiones maliciosas y generar una condición de denegación de servicio (DoS) en el dispositivo. Se ha asignado el identificador CVE-2020-3147 para esta vulnerabilidad.

Encuesta valoración