TLP:CLEAR PAP:WHITE
Múltiples vulnerabilidades de productos Cisco
Descripción
CVE-2023-20055 (8.0): Vulnerabilidad de escalada de privilegios de Cisco DNA Center.
Una vulnerabilidad en la API de administración de Cisco DNA Center podría permitir que un atacante remoto autenticado eleve los privilegios en el contexto de la interfaz de administración basada en web en un dispositivo afectado.
CVE-2023-20067 (7.4): Vulnerabilidad de denegación de servicio del software Cisco IOS XE para controladores de LAN inalámbrica (WLC).
Una vulnerabilidad en la función de creación de perfiles de clientes basada en HTTP del software Cisco IOS XE para controladores de LAN inalámbrica (WLC) podría permitir que un atacante adyacente no autenticado provoque una condición de denegación de servicio (DoS) en un dispositivo afectado.
CVE-2023-20080 (8.6): Vulnerabilidad en las funciones de retransmisión y servidor IPv6 DHCP versión 6 (DHCPv6) de Cisco IOS y el software IOS XE.
Una vulnerabilidad en las funciones de retransmisión y servidor IPv6 DHCP versión 6 (DHCPv6) de Cisco IOS y el software IOS XE podría permitir que un atacante remoto no autenticado active una condición de denegación de servicio (DoS).
CVE-2023-20072 (8.6): Vulnerabilidad de denegación de servicio del paquete del protocolo de túnel fragmentado del software XE de Cisco IOS.
Una vulnerabilidad en el código de manejo de fragmentación de los paquetes de protocolo de túnel en el software Cisco IOS XE podría permitir que un atacante remoto no autenticado haga que un sistema afectado se vuelva a cargar, lo que resulta en una condición de denegación de servicio (DoS).
CVE-2023-20035 (7.8): Vulnerabilidad de inyección de comandos de software Cisco IOS XE SD-WAN.
Una vulnerabilidad en la CLI del software Cisco IOS XE SD-WAN podría permitir que un atacante local autenticado ejecute comandos arbitrarios con privilegios elevados.
CVE-2023-20065 (7.8): Vulnerabilidad de escalada de privilegios del entorno de hospedaje de aplicaciones IOx del software Cisco IOS XE.
Una vulnerabilidad en el subsistema de alojamiento de aplicaciones Cisco IOx del software Cisco IOS XE podría permitir que un atacante local autenticado eleve los privilegios a la raíz en un dispositivo afectado.
CVE-2023-20027 (8.6): Vulnerabilidad de denegación de servicio de reensamblaje de fragmentación virtual del software Cisco IOS XE.
Una vulnerabilidad en la implementación de la función de reensamblaje de fragmentación virtual (VFR) de IPv4 del software Cisco IOS XE podría permitir que un atacante remoto no autenticado provoque una condición de denegación de servicio (DoS) en un dispositivo afectado.
CVE-2023-20112 (7.4): Vulnerabilidad de denegación de servicio de solicitud de asociación de software de punto de acceso de Cisco.
Una vulnerabilidad en el software de punto de acceso (AP) de Cisco podría permitir que un atacante adyacente no autenticado provoque una condición de denegación de servicio (DoS) en un dispositivo afectado.
Una vulnerabilidad en la API de administración de Cisco DNA Center podría permitir que un atacante remoto autenticado eleve los privilegios en el contexto de la interfaz de administración basada en web en un dispositivo afectado.
CVE-2023-20067 (7.4): Vulnerabilidad de denegación de servicio del software Cisco IOS XE para controladores de LAN inalámbrica (WLC).
Una vulnerabilidad en la función de creación de perfiles de clientes basada en HTTP del software Cisco IOS XE para controladores de LAN inalámbrica (WLC) podría permitir que un atacante adyacente no autenticado provoque una condición de denegación de servicio (DoS) en un dispositivo afectado.
CVE-2023-20080 (8.6): Vulnerabilidad en las funciones de retransmisión y servidor IPv6 DHCP versión 6 (DHCPv6) de Cisco IOS y el software IOS XE.
Una vulnerabilidad en las funciones de retransmisión y servidor IPv6 DHCP versión 6 (DHCPv6) de Cisco IOS y el software IOS XE podría permitir que un atacante remoto no autenticado active una condición de denegación de servicio (DoS).
CVE-2023-20072 (8.6): Vulnerabilidad de denegación de servicio del paquete del protocolo de túnel fragmentado del software XE de Cisco IOS.
Una vulnerabilidad en el código de manejo de fragmentación de los paquetes de protocolo de túnel en el software Cisco IOS XE podría permitir que un atacante remoto no autenticado haga que un sistema afectado se vuelva a cargar, lo que resulta en una condición de denegación de servicio (DoS).
CVE-2023-20035 (7.8): Vulnerabilidad de inyección de comandos de software Cisco IOS XE SD-WAN.
Una vulnerabilidad en la CLI del software Cisco IOS XE SD-WAN podría permitir que un atacante local autenticado ejecute comandos arbitrarios con privilegios elevados.
CVE-2023-20065 (7.8): Vulnerabilidad de escalada de privilegios del entorno de hospedaje de aplicaciones IOx del software Cisco IOS XE.
Una vulnerabilidad en el subsistema de alojamiento de aplicaciones Cisco IOx del software Cisco IOS XE podría permitir que un atacante local autenticado eleve los privilegios a la raíz en un dispositivo afectado.
CVE-2023-20027 (8.6): Vulnerabilidad de denegación de servicio de reensamblaje de fragmentación virtual del software Cisco IOS XE.
Una vulnerabilidad en la implementación de la función de reensamblaje de fragmentación virtual (VFR) de IPv4 del software Cisco IOS XE podría permitir que un atacante remoto no autenticado provoque una condición de denegación de servicio (DoS) en un dispositivo afectado.
CVE-2023-20112 (7.4): Vulnerabilidad de denegación de servicio de solicitud de asociación de software de punto de acceso de Cisco.
Una vulnerabilidad en el software de punto de acceso (AP) de Cisco podría permitir que un atacante adyacente no autenticado provoque una condición de denegación de servicio (DoS) en un dispositivo afectado.
Productos afectados
Riesgo
Alto
Soluciones
Cisco ha lanzado actualizaciones de software que abordan estaS vulnerabilidades. Migrar a la versión fija disponible para cada producto según lo indicado por el fabricante en los enlaces de referencia.
Referencias
Contacto
Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es