Cisco soluciona 23 vulnerabilidades en múltiples dispositivos

Cisco ha publicado 23 boletines de seguridad para solucionar otras
tantas vulnerabilidades (tres de gravedad alta y el resto de importancia
media) en múltiples productos que podrían permitir provocar denegaciones
de servicio, cross-site scripting, inyección SQL, ejecutar código
arbitrario, acceder al dispositivo sin autorización entre otros ataques.

Los productos afectados son
* Cisco Virtualized Packet Core-Distributed Instance
* Cisco WebEx Network Recording Player
* Cisco Prime Infrastructure y Evolved Programmable Network Manager
* Cisco Wide Area Application Services
* Cisco Unified Contact Center Express
* Cisco Prime Collaboration Provisioning
* Cisco Identity Services Engine
* Cisco IOS XR Software
* Cisco Firepower Management Center
* Cisco SocialMiner
* Cisco StarOS for ASR 5000 Series Routers

El primer problema considerado de gravedad alta afecta al software Cisco
Virtualized Packet Core-Distributed Instance (VPC-DI) en el
tratamiento de entrada de paquetes UDP. Podría permitir a un atacante
remoto sin autenticar provocar condiciones de denegación de servicio
(CVE-2017-6678).

También de gravedad alta, múltiples desbordamientos de búfer en Cisco
WebEx Network Recording Player para archivos Advanced Recording Format
(ARF). Mediante un archivo ARF malicioso un atacante podría conseguir la
ejecución remota de código arbitrario (CVE-2017-6669).

La tercera vulnerabilidad de gravedad alta, con CVE-2017-6662, afecta a
la interfaz web de Cisco Prime Infrastructure (PI) y Evolved
Programmable Network Manager (EPNM) por el tratamiento de Entidades
Externas XML (XXE). Podría permitir a un atacante remoto autenticado
leer y escribir el acceso a la información almacenada en el sistema
afectado, así como lograr la ejecución de código.

Otros problemas de gravedad media son:
* Denegación de servicio en Cisco Wide Area Application Services
* Autenticación sin cifrar en Cisco Unified Contact Center Express
* Cross-Site Scriptings en Cisco Prime Infrastructure Web Framework Code
* Inyección SQL en Cisco Prime Infrastructure y Evolved Programmable
Network Manager
* Obtención de información de logs en Cisco Prime Collaboration
Provisioning Tool
* Obtención de información sensible en Cisco Prime Collaboration
Provisioning Tool
* Descarga de archives arbitrarios en Cisco Prime Collaboration
Provisioning Tool
* Falsificación de session en Cisco Prime Collaboration Provisioning
Tool
* Cross-Site Scripting en Cisco Identity Services Engine
* Elevación de privilegios en Cisco IOS XR
* Inyección de commandos en Cisco IOS XR
* Cross-Site Scripting en Cisco Firepower Management Center
* Cross-Site Scripting almacenado en Cisco Firepower Management Center
* Cross-Site Scripting en Cisco SocialMiner
* Denegación de servicio en routers Cisco StarOS for ASR 5000

Cisco ha publicado actualizaciones para las vulnerabilidades
consideradas de gravedad alta. Se recomienda consultar las alertas
publicadas para obtener información sobre disponibilidad de parches y
actualizaciones.

Opina sobre esta noticia:
http://unaaldia.hispasec.com/2017/07/ejecucion-remota-de-codigo-en.html#comment-form

Más información:

Cisco Security Advisories and Alerts
https://tools.cisco.com/security/center/publicationListing.x?product=Cisco&sort=-day_sir&limit=50#~Vulnerabilities

Cisco Virtualized Packet Core-Distributed Instance Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170621-vpc

Cisco WebEx Network Recording Player Multiple Buffer Overflow Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170621-wnrp

Cisco Prime Infrastructure and Evolved Programmable Network Manager XML Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170621-piepnm1

Antonio Ropero
antonior@hispasec.com
Twitter: @aropero

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *