Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la implementación de Cisco Discovery Protocol (CDP) para los programas TelePresence Codec (TC) y Collaboration Endpoint (CE) de Cisco (CVE-2019-1878)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
20/06/2019
Última modificación:
09/10/2019

Descripción

Una vulnerabilidad en la implementación de Cisco Discovery Protocol (CDP) para los programas TelePresence Codec (TC) y Collaboration Endpoint (CE) de Cisco, podría permitir que a un atacante adyacente no autenticado inyectar comandos shell arbitrarios ejecutados por el dispositivo. Una vulnerabilidad es debido a una comprobación de entrada insuficiente de los paquetes CDP recibidos. Un atacante podría explotar esta vulnerabilidad enviando paquetes CDP creados a un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar comandos o scripts shell arbitrarios en el dispositivo de destino.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:cisco:telepresence_ce:*:*:*:*:*:*:*:* 8.0.0 (incluyendo) 8.3.7 (excluyendo)
cpe:2.3:a:cisco:telepresence_ce:*:*:*:*:*:*:*:* 9.1.0 (incluyendo) 9.5.3 (excluyendo)
cpe:2.3:a:cisco:telepresence_ce:*:*:*:*:*:*:*:* 9.6.0 (incluyendo) 9.6.3 (excluyendo)
cpe:2.3:a:cisco:telepresence_tc:*:*:*:*:*:*:*:* 7.0.0 (incluyendo) 7.3.17 (excluyendo)