Múltiples vulnerabilidades en productos de Cisco

Fecha de publicación
20/04/2023
Importancia
5 - Crítica
Recursos Afectados
  • Industrial Network Director (IND), versiones:
    • anteriores a 1.10;
    • 1.10 y posteriores.
  • Modeling Labs, versiones:
    • 2.3;
    • 2.4;
    • 2.5.
  • StarOS Software, versiones:
    • anteriores a 21.22;
    • 21.22;
    • 21.22.n;
    • 21.23;
    • 21.23.n;
    • 21.24;
    • 21.25;
    • 21.26;
    • 21.27;
    • 21.27.m;
    • 21.28;
    • 21.28.m.
  • BroadWorks Network Server, versiones:
    • 22.0;
    • 23.0;
    • Release Independent (RI).
Descripción

Cisco ha publicado 4 avisos de seguridad que recogen 5 vulnerabilidades: 2 de severidad crítica, 2 altas y 1 media. La explotación de estas vulnerabilidades podría permitir a un atacante ejecutar comandos arbitrarios, visualizar información sensible, escalar privilegios e interrumpir el normal funcionamiento del producto afectado.

Solución

Consultar la sección Fixed Releases de cada aviso para identificar y aplicar las actualizaciones requeridas desde Security Software Updates.

Detalle

Las vulnerabilidades críticas se describen a continuación:

  • Una vulnerabilidad en la interfaz web de usuario de Cisco IND podría permitir a un atacante remoto, autenticado, ejecutar comandos arbitrarios con privilegios administrativos en el sistema operativo subyacente de un dispositivo afectado, debido a una validación de entrada incorrecta al cargar un Device Pack. Se ha asignado el identificador CVE-2023-20036 para esta vulnerabilidad.
  • Una vulnerabilidad en el mecanismo de autenticación externa de Cisco Modeling Labs podría permitir a un atacante remoto, no autenticado, acceder a la interfaz web con privilegios administrativos, debido al tratamiento incorrecto de determinados mensajes devueltos por el servidor de autenticación externo asociado. Se ha asignado el identificador CVE-2023-20154 para esta vulnerabilidad.

Para el resto de vulnerabilidades no críticas se han asignado los identificadores CVE-2023-20046, CVE-2023-20125 y CVE-2023-20039.

Ir arriba