Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en la biblioteca común del Session Initiation Protocol (SIP) de los software Cisco IOS y IOS XE (CVE-2019-12654)
Gravedad:
AltaAlta
Publication date: 25/09/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en la biblioteca común del Session Initiation Protocol (SIP) de los software Cisco IOS y IOS XE, podría permitir a un atacante remoto no autenticado desencadenar una recarga de un dispositivo afectado, resultando en una condición de denegación de servicio (DoS). La vulnerabilidad es debido a insuficientes controles de saneamiento sobre una estructura de datos interna. Un atacante podría explotar esta vulnerabilidad mediante el envío de una secuencia de mensajes SIP maliciosos hacia un dispositivo afectado. Una explotación podría permitir al atacante causar una desreferencia del puntero NULL, resultando en un bloqueo del proceso iosd. Esto desencadena una recarga del dispositivo.
Vulnerabilidad en la funcionalidad ALG de FTP, utilizada por Network Address Translation (NAT), NAT IPv6 a IPv4 (NAT64) y el Zone-Based Policy Firewall (ZBFW) en Software Cisco IOS XE (CVE-2019-12655)
Gravedad:
AltaAlta
Publication date: 25/09/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en la funcionalidad application layer gateway (ALG) de FTP, utilizada por Network Address Translation (NAT), NAT IPv6 a IPv4 (NAT64) y el Zone-Based Policy Firewall (ZBFW) en Software Cisco IOS XE, podría permitir a un atacante remoto no autenticado causar que un dispositivo afectado se recargue. La vulnerabilidad es debido a un desbordamiento de búfer que ocurre cuando un dispositivo afectado inspecciona determinado tráfico FTP. Un atacante podría explotar esta vulnerabilidad realizando una transferencia FTP específica por medio del dispositivo. Una explotación con éxito podría permitir al atacante causar que el dispositivo se recargue.
Vulnerabilidad en la implementación de TLS en el entorno de la aplicación IOx de múltiples plataformas Cisco (CVE-2019-12656)
Gravedad:
MediaMedia
Publication date: 25/09/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en el entorno de la aplicación IOx de múltiples plataformas Cisco, podría permitir a un atacante remoto no autenticado causar que el servidor web IOx detenga el procesamiento de peticiones HTTPS, resultando en una condición de denegación de servicio (DoS). La vulnerabilidad es debido a un problema de implementación de Transport Layer Security (TLS). Un atacante podría explotar esta vulnerabilidad mediante el envío de paquetes TLS diseñados hacia el servidor web IOx en un dispositivo afectado. Una explotación con éxito podría permitir que el atacante cause que el servidor web de IOx detenga el procesamiento de peticiones HTTPS, resultando en una condición DoS.
Vulnerabilidad en los paquetes IPv6 en Unified Threat Defense (UTD) en el Software Cisco IOS XE (CVE-2019-12657)
Gravedad:
AltaAlta
Publication date: 25/09/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en Unified Threat Defense (UTD) en el Software Cisco IOS XE, podría permitir a un atacante remoto no autenticado causar que un dispositivo afectado se recargue. La vulnerabilidad es debido a la comprobación inapropiada de los paquetes IPv6 por medio de la función UTD. Un atacante podría explotar esta vulnerabilidad mediante el envío de tráfico IPv6 por medio de un dispositivo afectado que esté configurado con UTD. Una explotación con éxito podría permitir al atacante causar que el dispositivo se recargue, resultando en una condición de denegación de servicio (DoS).
Vulnerabilidad en el código de administración de recursos del sistema de archivos del software Cisco IOS XE (CVE-2019-12658)
Gravedad:
AltaAlta
Publication date: 25/09/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en el código de administración de recursos del sistema de archivos del Software Cisco IOS XE, podría permitir a un atacante remoto no autenticado agotar los recursos del sistema de archivos en un dispositivo afectado y cause una condición de denegación de servicio (DoS). La vulnerabilidad es debido a la gestión ineficaz de los recursos del sistema de archivos subyacentes. Un atacante podría explotar esta vulnerabilidad al llevar a cabo acciones específicas que resulten en el envío de mensajes a archivos de registro específicos del sistema operativo. Una explotación con éxito podría permitir al atacante agotar el espacio disponible del sistema de archivos en un dispositivo afectado. Esto podría causar que el dispositivo se bloquee y se recargue, resultando en una condición DoS para los clientes cuyo tráfico de red transita por el dispositivo. Tras la recarga del dispositivo, el espacio del sistema de archivos afectado se borra y el dispositivo volverá a la operación normal. Sin embargo, la explotación continua de esta vulnerabilidad podría causar bloqueos forzosos y recargas posteriores, lo que podría conllevar a una condición DoS extendida.
Vulnerabilidad en el mecanismo de registro en el código del servidor HTTP del software Cisco IOS XE (CVE-2019-12659)
Gravedad:
MediaMedia
Publication date: 25/09/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en el código del servidor HTTP del Software Cisco IOS XE, podría permitir a un atacante remoto no autenticado causar el bloqueo del servidor HTTP. La vulnerabilidad es debido a un error lógico en el mecanismo de registro. Un atacante podría explotar esta vulnerabilidad al generar una gran cantidad de conexiones duraderas al servicio HTTP en el dispositivo. Una explotación con éxito podría permitir al atacante causar que el servidor HTTP se bloquee.
Vulnerabilidad en la CLI del Software Cisco IOS XE (CVE-2019-12660)
Gravedad:
MediaMedia
Publication date: 25/09/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en la CLI del Software Cisco IOS XE, podría permitir a un atacante local autenticado escribir valores en la memoria subyacente de un dispositivo afectado. La vulnerabilidad es debido a la comprobación de entrada inapropiada y la autorización de comandos específicos que un usuario puede ejecutar dentro de la CLI. Un atacante podría explotar esta vulnerabilidad mediante la autenticación en un dispositivo afectado y emitiendo un conjunto específico de comandos. Una explotación con éxito podría permitir al atacante modificar la configuración del dispositivo para causar que no sea seguro y funcione de forma anormal.
Vulnerabilidad en un comando de la CLI relacionado con Virtualization Manager (VMAN) en el sistema operativo Linux subyacente del software Cisco IOS XE (CVE-2019-12661)
Gravedad:
AltaAlta
Publication date: 25/09/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en un comando de la CLI relacionado con Virtualization Manager (VMAN) del software Cisco IOS XE, podría permitir a un atacante local autenticado ejecutar comandos arbitrarios en el sistema operativo Linux subyacente con un nivel de privilegio de root. La vulnerabilidad es debido a una comprobación insuficiente de los argumentos pasados ??a un comando específico de CLI de VMAN, en el dispositivo afectado. Un atacante con acceso de administrador a un dispositivo afectado podría explotar esta vulnerabilidad al incluir entradas maliciosas como el argumento de un comando afectado. Una explotación con éxito podría permitir al atacante ejecutar comandos arbitrarios en el dispositivo con privilegios root, lo que puede conllevar a un compromiso total del sistema.
Vulnerabilidad en la instalación de una imagen OVA en el Software Cisco NX-OS y el Software Cisco IOS XE (CVE-2019-12662)
Gravedad:
AltaAlta
Publication date: 25/09/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en el Software Cisco NX-OS y el Software Cisco IOS XE, podría permitir que un atacante local autenticado con credenciales válidas de administrador o nivel de privilegio 15 cargue una imagen de servicio virtual y omita la comprobación de firma en un dispositivo afectado. La vulnerabilidad es debido a una comprobación de firma inapropiada durante la instalación de una imagen de Open Virtual Appliance (OVA). Un atacante local autenticado podría explotar esta vulnerabilidad y cargar una imagen OVA maliciosa y sin firmar en un dispositivo afectado. Una explotación con éxito podría permitir a un atacante llevar a cabo la ejecución de código en una imagen OVA de software diseñada.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: