Múltiples vulnerabilidades en productos de Cisco

Descripción

Se han identificado 14 vulnerabilidades en productos de Cisco, de las que 6 son de severidad crítica y podrían permitir a un atacante remoto ejecutar comandos arbitrarios o provocar una condición de desbordamiento de búfer.

Un atacante remoto y no autenticado podría ejecutar comandos arbitrarios aprovechando una validación incorrecta de entrada en la interfaz de usuario web de SD-WAN vManage Software, en la herramienta Command Runner de DNA Center o en la interfaz de usuario web Smart Software Manager Satellite, enviando una entrada especialmente diseñada. Se han asignado los identificadores CVE-2021-1299, CVE-2021-1264, CVE-2021-1138, CVE-2021-1140 y CVE-2021-1142 para estas vulnerabilidades, respectivamente.

Una vulnerabilidad de manejo incorrecto del tráfico IP podría permitir a un atacante enviar tráfico IP, especialmente diseñado, y provocar un desbordamiento de búfer. Se ha asignado el identificador CVE-2021-1300 para esta vulnerabilidad.

Para las vulnerabilidades de severidad alta se han asignado los identificadores CVE-2021-1261, CVE-2021-1260, CVE-2021-1139 y CVE-2021-1141.
Para las vulnerabilidades de severidad media se han asignado los identificadores CVE-2021-1263, CVE-2021-1262, CVE-2021-1298 y CVE-2021-1301.

Recursos afectados

  • Cisco DNA Center Software, versiones 1.3.1.0 y anteriores
  • Cisco Smart Software Manager Satellite, versiones 5.1.0 y anteriores
  • los siguientes productos, si ejecutan una versión vulnerable de Cisco SD-WAN Software:
    • SD-WAN vBond Orchestrator Software
    • SD-WAN vEdge Cloud Routers
    • SD-WAN vEdge Routers
    • SD-WAN vManage Software
    • SD-WAN vSmart Controller Software
    • IOS XE SD-WAN Software

Solución

Las actualizaciones que corrigen las vulnerabilidades indicadas se pueden descargar desde el panel de descarga de Software de Cisco (https://software.cisco.com/download/home). Para información más detallada, consulta referencias.

Referencias

Cisco Advisory – Command Injection
Cisco Advisory – Buffer Overflow
Cisco Advisory – Command Runner Command Injection
Cisco Advisory – Web UI Command Injection

Artículos relacionados

Etiqueta Seresco