Cisco ha publicado una actualización de seguridad de su
producto Cisco ACE Application Control Engine. Esta actualización resuelve una
vulnerabilidad que permitiría a un atacante remoto ejecutar cualquier comando
en CLI con privilegios de administrador, catalogada de Importancia: 4 Alta
Recursos afectados
- Cisco ACE 4710 Application Control Engine.
Detalle de la actualización
- Cisco ACE 4710 Application Control Engine es vulnerable cuando se configuran los permisos para permitir el acceso a la GUI del Device Manager. La vulnerabilidad se produce por la insuficiente validación de los datos de acceso proporcionados por el usuario. El atacante podría aprovechar una petición HTTP POST inyectando comandos en los parámetros de la petición, permitiendo sortear las restricciones del RBAC -role-based access control-.
Recomendación
- Cisco ha publicado actualizaciones para los productos afectados.
- Para obtener los parches, es necesario ponerse en contacto con su servicio técnico o visitar las paginas de descargas de actualizaciones de CISCO, Cisco Security Advisories and Responses archive . http://www.cisco.com/en/US/products/products_security_advisories_listing.html
Más información
- Cisco ACE 4710 Application Control Engine Command Injection Vulnerability (se abre en nueva ventana) https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160224-ace
- Cisco Security Advisories and Responses archive (se abre en nueva ventana) http://www.cisco.com/en/US/products/products_security_advisories_listing.html