Múltiples vulnerabilidades en productos Cisco

Fecha de publicación 09/01/2020
Importancia
4 - Alta
Recursos Afectados
  • Cisco IOS y Cisco IOS XE, versiones anteriores a 16.1.1 con la funcionalidad HTTP Server habilitada.
  • Cisco Webex Video Mesh, versiones anteriores a 2019.09.19.1956m.
Descripción

Se han identificado dos vulnerabilidades en productos Cisco, ambas de severidad alta, que podrían permitir a un atacante remoto realizar CSRF (Cross-Site Request Forgery) o inyección de comandos en el sistema afectado.

Solución

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden descargarse desde el panel de descarga de Software de Cisco.

Detalle
  • Una vulnerabilidad, de tipo CSRF, detectada en la interfaz de usuario web de los programas Cisco IOS y Cisco IOS XE, en el sistema afectado podría permitir la explotación exitosa de esta vulnerabilidad, autorizando a un atacante remoto, no autenticado, a realizar acciones arbitrarias con el nivel de privilegios del usuario objetivo. Se ha reservado el identificador CVE-2019-16009 para esta vulnerabilidad.
  • Una vulnerabilidad en la interfaz de gestión basada en la web de Cisco Webex Video Mesh podría permitir que un atacante, remoto y autenticado ejecutar comandos arbitrarios en el sistema operativo Linux subyacente con privilegios de root en el nodo objetivo. Se ha reservado el identificador CVE-2019-16005 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Cisco IOS and Cisco IOS XE Software Web UI Cross-Site Request Forgery Vulnerability
Cisco Webex Video Mesh Node Command Injection Vulnerability
Etiquetas