Descripción
Se han identificado 14 vulnerabilidades en productos de Cisco, de las que 6 son de severidad crítica y podrían permitir a un atacante remoto ejecutar comandos arbitrarios o provocar una condición de desbordamiento de búfer.
Un atacante remoto y no autenticado podría ejecutar comandos arbitrarios aprovechando una validación incorrecta de entrada en la interfaz de usuario web de SD-WAN vManage Software, en la herramienta Command Runner de DNA Center o en la interfaz de usuario web Smart Software Manager Satellite, enviando una entrada especialmente diseñada. Se han asignado los identificadores CVE-2021-1299, CVE-2021-1264, CVE-2021-1138, CVE-2021-1140 y CVE-2021-1142 para estas vulnerabilidades, respectivamente.
Una vulnerabilidad de manejo incorrecto del tráfico IP podría permitir a un atacante enviar tráfico IP, especialmente diseñado, y provocar un desbordamiento de búfer. Se ha asignado el identificador CVE-2021-1300 para esta vulnerabilidad.
Para las vulnerabilidades de severidad alta se han asignado los identificadores CVE-2021-1261, CVE-2021-1260, CVE-2021-1139 y CVE-2021-1141.
Para las vulnerabilidades de severidad media se han asignado los identificadores CVE-2021-1263, CVE-2021-1262, CVE-2021-1298 y CVE-2021-1301.
Recursos afectados
- Cisco DNA Center Software, versiones 1.3.1.0 y anteriores
- Cisco Smart Software Manager Satellite, versiones 5.1.0 y anteriores
- los siguientes productos, si ejecutan una versión vulnerable de Cisco SD-WAN Software:
- SD-WAN vBond Orchestrator Software
- SD-WAN vEdge Cloud Routers
- SD-WAN vEdge Routers
- SD-WAN vManage Software
- SD-WAN vSmart Controller Software
- IOS XE SD-WAN Software
Solución
Las actualizaciones que corrigen las vulnerabilidades indicadas se pueden descargar desde el panel de descarga de Software de Cisco (https://software.cisco.com/download/home). Para información más detallada, consulta referencias.