De ha descubierto una vulnerabilidad en Cisco Prime Infrastructure que
podría permitir a un atacante remoto autenticado ejecutar comandos arbitrarios
con privilegios de root. La vulnerabilidad ha sido catalogada con Importancia:
4 - Alta
Recursos afectados
- El software Cisco Prime Infrastructure en sus versiones 1.2, 1.3, 1.4 y 2.0.
Cisco a publicado actualizaciones para las veriones afectadas. En concreto, para cada una de ellas, las versiones a partir de las cuales se soluciona esta vulnerabilidad, son:
- Versión 1.2: se debe actualizar a una de las versiones de las otras ramas que solucionan la vulnerabilidad.
- Versión 1.3: solucionada a partir de la versión 1.3.0.20-2.
- Versión 1.4: solucionada a partir de la versión 1.4.0.45-2.
- Versión 2.0: solucionada a partir de la versión 2.0.0.0.294-2.
- La vulnerabilidad se debe a una validación incorrecta de peticiones URL. Un atacante autenticado podría explotar esta vulnerabilidad mediante la petición de comandos no autorizados a través de una URL específica. La explotación satisfactoria podría permitir al atacante ejecutar comandos del sistema con privliegios de root.
- Se ha asignado a esta vulnerabilidad los identificadores CSCum71308 y CVE-2014-0679, con un valor CVSS v2 base de 9.0.
- Cisco Prime Infrastructure Command Execution Vulnerability http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140226-pi