Vulnerabilidad de divulgación de contraseñas en router Cisco para pequeños negocios

Fecha de publicación:

05/03/2014

Importancia:

5 - Crítica

Recursos afectados:

Modelos afectados:

Cisco RV110W Wireless-N VPN Firewall con firmware 1.2.0.9 y anteriores
Cisco RV215W Wireless-N VPN Router con firmware 1.1.0.5 y anteriores
Cisco CVR100W Wireless-N VPN Router con firmware 1.0.1.19 y anteriores

Descripción:

Una vulnerabilidad en la interfaz de administración web de Cisco RV110W Wireless-N VPN Firewall, el Cisco RV215W Wireless-N Router VPN y Cisco CVR100W Wireless-N Router VPN podría permitir a un intruso remoto no autenticado acceder al nivel administrativo mediante el interfaz de administración web del dispositivo afectado.

Solución:

Cisco ha publicado actualizaciones para las versiones vulnerables.

Detalle:

La vulnerabilidad se debe a un mal manejo de las solicitudes de autenticación en el framework de desarrollo web. Un atacante podría aprovechar esta vulnerabilidad mediante la interceptación, modificación y reenvio de una solicitud de autenticación. La explotación exitosa de esta vulnerabilidad podría dar a un atacante el acceso de nivel de administrador a la interfaz Web de administración del dispositivo afectado. Esta vulnerabilidad se documenta en Cisco bug ID CSCul94527, CSCum86264 y CSCum86275 y se le ha asignado las Vulnerabilidades y Exposiciones Comunes CVE-2014-0683.

Referencias:

Cisco Small Business Router Password Disclosure Vulnerability

Etiquetas:

Vulnerabilidad

Cisco

Accesos corporativos

Vulnerabilidad de divulgación de contraseñas en router Cisco para pequeños negocios

Fallos de Cross Site Scripting (XSS) encontrados en el software Tiki-Wiki CMS

Múltiples vulnerabilidades en Spectrum Protect Plus de IBM

Múltiples vulnerabilidades en Vertiv Avocent UMG-4000

Escalada de privilegios en Apache Traffic Server

Múltiples vulnerabilidades en productos F5