Múltiples vulnerabilidades en Cisco Small Business VPN Routers
Estas vulnerabilidades afectan a los siguientes routers Cisco Small Business si ejecutan una versión de firmware anterior a la versión 1.0.01.02:
- RV160 VPN Router,
- RV160W Wireless-AC VPN Router,
- RV260 VPN Router,
- RV260P VPN Router con POE,
- RV260W Wireless-AC VPN Router.
Diversos investigadores han notificado a Cisco 7 vulnerabilidades, todas de severidad crítica, que afectan a la interfaz web de gestión de los productos afectados.
Cisco ha corregido estas vulnerabilidades en las versiones de firmware 1.0.01.02 y posteriores para los routers Cisco RV160, RV160W, RV260, RV260P y RV260W, disponibles en el panel de descarga de software de Cisco.
La validación incorrecta de peticiones HTTP podría permitir a un atacante remoto, no autenticado, ejecutar código arbitrario como root en el dispositivo afectado, mediante el envío de peticiones HTTP, especialmente diseñadas, a la interfaz de administración web. Se han asignado los identificadores CVE-2021-1289, CVE-2021-1290, CVE-2021-1291, CVE-2021-1292, CVE-2021-1293, CVE-2021-1294 y CVE-2021-1295 para estas vulnerabilidades.
