Se ha identificado una vulnerabilidad en el componente JAR
responsable de limpiar la memoria cache de Cisco Secure Desktop, catalogadas de
Importancia: 4 - Alta
Recursos afectados
- Cisco ASA Software y Cisco IOS Software SSL VPN services.
- El fallo es provocado por un control insuficiente en la ejecución del fichero cache.jar y puede permitir a un usuario remoto no autenticado ejecutar comandos de manera arbitraria en cualquier cliente que incluya el fichero vulnerable.
- Un atacante puede explotar esta vulnerabilidad redirigiendo a los usuarios a una página web maliciosa en la que esté disponible un fichero manipulado que incluya el JAR afectado y ejecutables maliciosos adicionales.
- Se ha reservado el identificador CVE-2015-0691.
- La funcionalidad Cache Cleaner de Cisco Secure Desktop está obsoleta desde noviembre de 2012, por lo que no hay una solución para el fallo. Se han retirado las versiones de Cisco Secure Desktop que incluían el fichero JAR vulnerable.
- Cisco Secure Desktop Cache Cleaner Command Execution Vulnerability http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150415-csd
