Inyección de comandos en IOS XE SD-WAN de Cisco
Fecha de publicación: 30/04/2020
Importancia:
Alta
Recursos afectados:
Los siguientes dispositivos de Cisco que ejecutan el software IOS XE SD-WAN:
- 1000 Series Aggregation Services Routers,
- 1000 Series Integrated Services Routers (ISRs),
- 4000 Series ISRs,
- Cloud Services Router 1000V Series.
Descripción:
Los investigadores Julien Legras y Thomas Etrillard, de Synacktiv, han detectado una vulnerabilidad de criticidad alta que afecta a varios dispositivos de Cisco. Un atacante local, autenticado, inyectar comandos con privilegios de root.
Solución:
Las actualizaciones que corrigen la vulnerabilidad indicada pueden descargarse desde el panel de descarga de Software de Cisco.
Detalle:
La vulnerabilidad se debe a una insuficiente validación de los parámetros de entrada. Un atacante local, autenticado, podría introducir una entrada, específicamente generada, en la utilidad CLI, y podría ejecutar comandos en el dispositivo con privilegios de root. Se ha asignado el identificador CVE-2019-16011 para esta vulnerabilidad.
Etiquetas:
Actualización, Cisco, Vulnerabilidad
Powered by WPeMatico