Inicio / Content / Boletín de INCIBE-CERT del 21-01-2021

Boletín de INCIBE-CERT del 21-01-2021

Múltiples vulnerabilidades en productos de Cisco

Fecha de publicación: 
21/01/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • Cisco DNA Center Software, versiones 1.3.1.0 y anteriores;
  • Cisco Smart Software Manager Satellite, versiones 5.1.0 y anteriores;
  • los siguientes productos, si ejecutan una versión vulnerable de Cisco SD-WAN Software:
    • SD-WAN vBond Orchestrator Software;
    • SD-WAN vEdge Cloud Routers;
    • SD-WAN vEdge Routers;
    • SD-WAN vManage Software;
    • SD-WAN vSmart Controller Software;
    • IOS XE SD-WAN Software.
Descripción: 

Se han identificado 14 vulnerabilidades en productos de Cisco, de las que 6 son de severidad crítica y podrían permitir a un atacante remoto ejecutar comandos arbitrarios o provocar una condición de desbordamiento de búfer.

Solución: 

Las actualizaciones que corrigen las vulnerabilidades indicadas se pueden descargar desde el panel de descarga de Software de Cisco. Para información más detallada, consulte la sección Referencias.

Detalle: 

Un atacante remoto y no autenticado podría ejecutar comandos arbitrarios aprovechando una validación incorrecta de entrada en la interfaz de usuario web de SD-WAN vManage Software, en la herramienta Command Runner de DNA Center o en la interfaz de usuario web Smart Software Manager Satellite, enviando una entrada especialmente diseñada. Se han asignado los identificadores CVE-2021-1299, CVE-2021-1264, CVE-2021-1138, CVE-2021-1140 y CVE-2021-1142 para estas vulnerabilidades, respectivamente.

Una vulnerabilidad de manejo incorrecto del tráfico IP podría permitir a un atacante enviar tráfico IP, especialmente diseñado, y provocar un desbordamiento de búfer. Se ha asignado el identificador CVE-2021-1300 para esta vulnerabilidad.

Para las vulnerabilidades de severidad alta se han asignado los identificadores CVE-2021-1261, CVE-2021-1260, CVE-2021-1139 y CVE-2021-1141.
Para las vulnerabilidades de severidad media se han asignado los identificadores CVE-2021-1263, CVE-2021-1262, CVE-2021-1298 y CVE-2021-1301.

Encuesta valoración

Vulnerabilidad en el core de Drupal

Fecha de publicación: 
21/01/2021
Importancia: 
5 - Crítica
Recursos afectados: 

Versiones anteriores a:

  • 9.1.3;
  • 9.0.11;
  • 8.9.13;
  • 7.78.
Descripción: 

Se han publicado una vulnerabilidad de severidad crítica, en la librería Archive_Tar, que afecta al core de Drupal.

Solución: 

Actualizar a las versiones 9.1.3, 9.0.11, 8.9.13, 7.78.

Las versiones de Drupal 8, anteriores a la 8.9.x, están al final de su vida útil y ya no reciben cobertura de seguridad.

Detalle: 

La  comprobación inadecuada de los enlaces simbólicos en la librería Archive_Tar podría permitir operaciones de escritura con Directory Traversal . Se ha asignado el identificador CVE-2020-36193 para esta vulnerabilidad.

Encuesta valoración