Vulnerabilidad de salto de autenticación en Cisco Elastic Services Controller
Fecha de publicación: 08/05/2019
Importancia:
Crítica
Recursos afectados:
- Cisco Elastic Services Controller, ejecutando versiones de sofware 4.1, 4.2, 4.3, o 4.4 con REST API habilitado.
Descripción:
Se ha detectado una vulnerabilidad de severidad crítica en Cisco Elastic Services Controller (ESC) que podría permitir a un atacante remoto sin autenticación saltarse la autenticación en REST API y realizar acciones en el sistema.
Solución:
- Cisco ha publicado una actualización que mitiga la vulnerabilidad en función de la versión de software. Es posible descargarla desde su centro de descarga de software.
- Las versiones afectadas:
- 4.1 actualizar a las versiones:
- 4.1.0.100
- 4.1.0.111
- 4.2 actualizar a las versiones:
- 4.2.0.74
- 4.2.0.86
- 4.3 actualizar a las versiones:
- 4.3.0.121
- 4.3.0.128
- 4.3.0.134
- 4.3.0.135
- 4.4 actualizar a las versiones:
- 4.4.0.80
- 4.4.0.82
- 4.4.0.86
- 4.1 actualizar a las versiones:
- La versión 4.5 y las anteriores a la 4.1 no se encuentran afectadas.
Detalle:
- La vulnerabilidad se debe a una validación incorrecta en las peticiones a la API. Un atacante podría explotar esta vulnerabilidad enviando una petición especialmente generada a la REST API, lo que podría permitir al atacante ejecutar acciones a través de la REST API con privilegios de administrador en el sistema afectado. Se ha reservado el identificador CVE-2019-1867 para esta vulnerabilidad.
Etiquetas:
Actualización, Cisco, Vulnerabilidad
Powered by WPeMatico
