Múltiples vulnerabilidades en Cisco Small Business VPN Routers

Descripción

Se han notificado a Cisco 7 vulnerabilidades, todas de severidad crítica, que afectan a la interfaz web de gestión de los productos afectados.

La validación incorrecta de peticiones HTTP podría permitir a un atacante remoto, no autenticado, ejecutar código arbitrario como root en el dispositivo afectado, mediante el envío de peticiones HTTP, especialmente diseñadas, a la interfaz de administración web. Se han asignado los identificadores CVE-2021-1289, CVE-2021-1290, CVE-2021-1291, CVE-2021-1292, CVE-2021-1293, CVE-2021-1294 y CVE-2021-1295 para estas vulnerabilidades.

Recursos afectados

Estas vulnerabilidades afectan a los siguientes routers Cisco Small Business si ejecutan una versión de firmware anterior a la versión 1.0.01.02:

  • RV160 VPN Router
  • RV160W Wireless-AC VPN Router
  • RV260 VPN Router
  • RV260P VPN Router con POE
  • RV260W Wireless-AC VPN Router

Solución

Cisco ha corregido estas vulnerabilidades en las versiones de firmware 1.0.01.02 y posteriores para los routers Cisco RV160, RV160W, RV260, RV260P y RV260W, disponibles en el panel de descarga de software de Cisco.

Referencias

Cisco Advisory

Artículos relacionados

Etiqueta Seresco