CVE-2023-20076 (7.2): Vulnerabilidad de inyección de comandos del entorno de alojamiento.
Una vulnerabilidad en el entorno de hospedaje de aplicaciones Cisco IOx podría permitir que un atacante remoto autenticado ejecute comandos arbitrarios como root en el sistema operativo host subyacente.

Esta vulnerabilidad afecta a los dispositivos Cisco que ejecutan el software Cisco IOS XE si tienen habilitada la función Cisco IOx y no admiten la ventana acoplable nativa.

Esta vulnerabilidad también afecta a los siguientes productos de Cisco, que no son compatibles con la ventana acoplable nativa, si ejecutan una versión de software vulnerable y tienen habilitada la función Cisco IOx:

• ISR industriales de la serie 800
• Puntos de acceso de Catalyst (COS-AP)
• Módulos de cómputo CGR1000
• Gateways de cómputo industrial IC3000 (versiones de software anteriores a la 1.2.1)
• Enrutadores industriales WPAN IR510

Se recomienda a los clientes que actualicen a una versión de software fija adecuada, como se indica en esta sección.

• Para ISR industriales de la serie 800:
• 15.9(3)M7
• Para puntos de acceso de Catalyst (COS-AP):
• 17.3.8
• 17.9.2
• 17.11.1
• Para módulos de cómputo CGR1000:
• Por determinar (febrero de 2023)
• Para pasarelas informáticas industriales IC3000:
• 1.2.1
• Para dispositivos basados ​​en IOS XE configurados con IOx:
• 17.6.5
• 17.9.2
• 17.10.1
• Para obtener más información, consulte Cisco IOS e IOS XE Software Checker
• Para enrutadores industriales WPAN IR510:
• Por determinar (febrero de 2023)

No hay soluciones alternativas que aborden esta vulnerabilidad.

Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es