Múltiples vulnerabilidades en productos Cisco

Fecha de publicación
03/03/2022
Importancia
5 - Crítica
Recursos Afectados

Cisco Expressway Series y Cisco TelePresence VCS, versión 14.0 y anteriores.

Descripción

Jason Crowder, investigador de Cisco ASIG (Advanced Security Initiatives Group), durante unas pruebas de seguridad internas, descubrió 2 vulnerabilidades críticas que podrían permitir a un atacante remoto autenticado, con privilegios de lectura/escritura en la aplicación, escribir archivos o ejecutar código arbitrario en el sistema operativo subyacente de un dispositivo afectado con privilegios de root.

Solución

Actualizar Cisco Expressway Series y Cisco TelePresence VCS a la versión 14.0.5.

Detalle

Las 2 vulnerabilidades, identificadas en la API de la base de datos del clúster y en la interfaz de gestión basada en la web respectivamente, originadas por una insuficiente validación de entrada de los argumentos de comandos suministrados por el usuario, podrían explotarse autenticándose en el sistema como administrador y enviando una entrada especialmente diseñada al comando afectado. Se han asignado los identificadores CVE-2022-20754 y CVE-2022-20755 para estas vulnerabilidades.

Encuesta valoración

botón arriba