Múltiples vulnerabilidades en productos Cisco
Fecha de publicación
09/01/2020
Importancia
4 - Alta
Recursos Afectados
- Cisco IOS y Cisco IOS XE, versiones anteriores a 16.1.1 con la funcionalidad HTTP Server habilitada.
- Cisco Webex Video Mesh, versiones anteriores a 2019.09.19.1956m.
Descripción
Se han identificado dos vulnerabilidades en productos Cisco, ambas de severidad alta, que podrían permitir a un atacante remoto realizar CSRF (Cross-Site Request Forgery) o inyección de comandos en el sistema afectado.
Solución
Las actualizaciones que corrigen las vulnerabilidades indicadas pueden descargarse desde el panel de descarga de Software de Cisco.
Detalle
- Una vulnerabilidad, de tipo CSRF, detectada en la interfaz de usuario web de los programas Cisco IOS y Cisco IOS XE, en el sistema afectado podría permitir la explotación exitosa de esta vulnerabilidad, autorizando a un atacante remoto, no autenticado, a realizar acciones arbitrarias con el nivel de privilegios del usuario objetivo. Se ha reservado el identificador CVE-2019-16009 para esta vulnerabilidad.
- Una vulnerabilidad en la interfaz de gestión basada en la web de Cisco Webex Video Mesh podría permitir que un atacante, remoto y autenticado ejecutar comandos arbitrarios en el sistema operativo Linux subyacente con privilegios de root en el nodo objetivo. Se ha reservado el identificador CVE-2019-16005 para esta vulnerabilidad.
Listado de referencias
Etiquetas