miércoles, 11 de agosto de 2021

Cisco soluciona graves vulnerabilidades en sus productos


     La popular compañía de equipamientos de red ha lanzado estos últimos días parches para solucionar vulnerabilidades en gran variedad de su gama de productos. Dichas vulnerabilidades podrían haberse usado para ejecutar código remotamente.

De entre todas las vulnerabilidades, la más grave era CVE-2021-1609, suponiendo una potencial puerta trasera para ejecutar código arbitrario por parte de un atacante no autenticado o causar una condición de denegación de servicio (DoS) a través del envío masivo de peticiones HTTP. Los modelos afectados por esta vulnerabilidad son los Cisco RV340, RV340W, RV345 y RV345P.

Otra vulnerabilidad parecida, identificada con el nombre CVE-2021-1610, que reporta la posibilidad de permitir la inyección de comandos arbitrarios con privilegios de root. Esta vulnerabilidad se debe a un fallo en la interfaz web para operar el dispositivo y su explotación es similar a la vulnerabilidad anterior. En este último caso, los modelos afectados son las series RV160 y RV260.

Por otro lado, Cisco también reporta vulnerabilidades en el software Cisco Packet Tracer y una vulnerabilidad de escalado de privilegios en la interfaz CLI de los dispositivos. Dichas vulnerabilidades podrían permitir un ataque por inyección de DDL y la ejecución de comandos arbitrarios, respectivamente. En ambos casos, los ataques podrían ejecutarse por parte de un atacante local.

La compañía recomienda encarecidamente actualizar todos aquellos dispositivos, mediante las actualizaciones que ya se encuentran publicadas en la página web oficial de la compañía.

Fuente: Hispasec

No hay comentarios:

Publicar un comentario