Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en IOS XE (CVE-2019-1904)
Gravedad:
MediaMedia
Publication date: 21/06/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en la interfaz de usuario basada en la web (UI web) del software IOS XE de Cisco, podría permitir a atacante remoto no autenticado conducir un ataque de tipo cross-site request forgery (CSRF) en un sistema afectado. Una vulnerabilidad es debido a las insuficientes protecciones CSRF para la interfaz de usuario web en un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad persuadiendo a un usuario de la interfaz a que siga un enlace malicioso. Una explotación con éxito podría permitir al atacante llevar a cabo acciones arbitrarias con el nivel de privilegio del usuario afectado. Si el usuario tiene privilegios de administrador, el atacante podría alterar la configuración, ejecutar comandos o recargar un dispositivo afectado. Esta vulnerabilidad impacta a los dispositivos Cisco que ejecutan una versión vulnerable del software IOS XE de Cisco con la función de servidor HTTP habilitada. El estado predeterminado de la característica del servidor HTTP depende de la versión.
Vulnerabilidad en la interfaz de usuario basada en web (Web UI) de vManage de SD-WAN Solution de Cisco (CVE-2019-1626)
Gravedad:
MediaMedia
Publication date: 20/06/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en la interfaz de usuario basada en web (Web UI) de vManage de SD-WAN Solution de Cisco, podría permitir a un atacante remoto autenticado obtener privilegios elevados en un dispositivo vManage afectado. Una vulnerabilidad es debido a un fallo al no autorizar apropiadamente ciertas acciones del usuario en la configuración del dispositivo. Un atacante podría explotar esta vulnerabilidad iniciando sesión en la interfaz de usuario web de vManage y enviando peticiones HTTP creadas hacia vManage. Una explotación con éxito podría permitir a los atacantes obtener privilegios elevados y realizar cambios en la configuración que regularmente no estarían autorizados a realizar.
Vulnerabilidad en la CLI de Integrated Management Controller (IMC) de Cisco (CVE-2019-1879)
Gravedad:
AltaAlta
Publication date: 20/06/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en la CLI de Integrated Management Controller (IMC) de Cisco, podría permitir a un atacante local autenticado inyectar comandos arbitrarios que se ejecutan con privilegios root. Una vulnerabilidad es debido a una comprobación insuficiente de la entrada suministrada por el usuario en la CLI. Un atacante podría explotar esta vulnerabilidad al autenticarse con la contraseña del administrador por medio de la CLI de un dispositivo afectado y enviar una entrada creada a los comandos afectados. Una explotación con éxito podría permitir al atacante ejecutar comandos arbitrarios en el dispositivo con privilegios root.
Vulnerabilidad en el motor de descompresión GZIP del software AsyncOS de Cisco para Email Security Appliance (CVE-2019-1905)
Gravedad:
MediaMedia
Publication date: 20/06/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en el motor de descompresión GZIP del software AsyncOS de Cisco para Email Security Appliance (ESA) de Cisco, podría permitir que un atacante remoto no autenticado omita los filtros de contenido configurados en el dispositivo. Una vulnerabilidad es debido a la comprobación inapropiada de los archivos con formato GZIP. Un atacante podría explotar esta vulnerabilidad enviando un archivo malicioso dentro de un archivo comprimido con GZIP. Una explotación con éxito podría permitir al atacante omitir los filtros del contenido configurados que normalmente omitiría el correo electrónico.
Vulnerabilidad en el sistema Virtual Domain de Prime Infrastructure (PI) de Cisco (CVE-2019-1906)
Gravedad:
MediaMedia
Publication date: 20/06/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en el sistema Virtual Domain de Prime Infrastructure (PI) de Cisco, podría permitir a un atacante remoto autenticado cambiar la configuración de virtual domain, lo que podría conllevar a una escalada de privilegios. Una vulnerabilidad es debido a la comprobación inapropiada de las peticiones de la API. Un atacante podría explotar esta vulnerabilidad al manipular las peticiones enviadas a un servidor PI afectado. Una explotación con éxito podría permitir al atacante cambiar la configuración de virtual domain y posiblemente elevar sus privilegios.
Vulnerabilidad en entidades XML en Security Manager de Cisco (CVE-2019-1903)
Gravedad:
MediaMedia
Publication date: 20/06/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en Security Manager de Cisco, podría permitir a un atacante remoto no autenticado acceder a información confidencial o causar una condición de denegación de servicio (DoS). Una vulnerabilidad es debido a restricciones inapropiadas sobre entidades XML. Un atacante podría explotar esta vulnerabilidad enviando peticiones maliciosas hacia un sistema específico que contenga referencias dentro de entidades XML. Una Explotación podría permitirle al atacante recuperar archivos del sistema local, resultando en la divulgación de información confidencial, o en causar que la aplicación consuma los recursos disponibles, resultando en una condición DoS.