Múltiples vulnerabilidades en Cisco Small Business VPN Routers

Fecha de publicación 04/02/2021
Importancia
5 - Crítica
Recursos Afectados

Estas vulnerabilidades afectan a los siguientes routers Cisco Small Business si ejecutan una versión de firmware anterior a la versión 1.0.01.02:

  • RV160 VPN Router,
  • RV160W Wireless-AC VPN Router,
  • RV260 VPN Router,
  • RV260P VPN Router con POE,
  • RV260W Wireless-AC VPN Router.
Descripción

Diversos investigadores han notificado a Cisco 7 vulnerabilidades, todas de severidad crítica, que afectan a la interfaz web de gestión de los productos afectados.

Solución

Cisco ha corregido estas vulnerabilidades en las versiones de firmware 1.0.01.02 y posteriores para los routers Cisco RV160, RV160W, RV260, RV260P y RV260W, disponibles en el panel de descarga de software de Cisco.

Detalle

La validación incorrecta de peticiones HTTP podría permitir a un atacante remoto, no autenticado, ejecutar código arbitrario como root en el dispositivo afectado, mediante el envío de peticiones HTTP, especialmente diseñadas, a la interfaz de administración web. Se han asignado los identificadores CVE-2021-1289, CVE-2021-1290, CVE-2021-1291, CVE-2021-1292, CVE-2021-1293, CVE-2021-1294 y CVE-2021-1295 para estas vulnerabilidades.

Encuesta valoración