Múltiples vulnerabilidades en productos de Cisco
Fecha de publicación 20/03/2020
Importancia
4 - Alta
Recursos Afectados
Estas vulnerabilidades afectan a los siguientes productos Cisco si están ejecutando una versión del software Cisco SD-WAN Solution anterior a la 19.2.2:
- vBond Orchestrator Software,
- vEdge 100 Series Routers,
- vEdge 1000 Series Routers,
- vEdge 2000 Series Routers,
- vEdge 5000 Series Routers,
- vEdge Cloud Router Platform,
- vManage Network Management (Software y System),
- vSmart Controller Software.
Descripción
Orange Group ha detectado 3 vulnerabilidades de criticidad alta que afectan a múltiples productos. Un atacante local, no autenticado, podría realizar un desbordamiento de búfer, elevar los privilegios a nivel root y ejecutar comandos arbitrarios en el dispositivo afectado.
Solución
Las actualizaciones que corrigen las vulnerabilidades indicadas pueden descargarse desde el panel de descarga de Software Cisco.
Detalle
- Un atacante local, no autenticado, podría causar un desbordamiento de búfer mediante el envío de tráfico, especialmente diseñado, al dispositivo afectado, aprovechando una validación insuficiente de datos de entrada. Se ha reservado el identificador CVE-2020-3264 para esta vulnerabilidad.
- Un atacante local, no autenticado, podría realizar una elevación de privilegios de root mediante el envío de una petición, especialmente diseñada, al sistema operativo afectado, aprovechando una validación insuficiente de datos de entrada. Se ha reservado el identificador CVE-2020-3265 para esta vulnerabilidad.
- Un atacante local, no autenticado, podría realizar una inyección de comandos arbitrarios que serían ejecutados con privilegios de root mediante el envío de datos, especialmente diseñados, a la utilidad CLI, aprovechando una validación insuficiente de datos de entrada. Se ha reservado el identificador CVE-2020-3266 para esta vulnerabilidad.
Listado de referencias
Etiquetas