Se ha detectado una vulnerabilidad que permite a un usuario local autenticado la ejecución de flujos de trabajo arbitrario unicamente con un perfil de usuario final, catalogada de Importancia: 5 - Crítica
Recursos afectados:
- Versiones 6.0.0.0 y 6.0.0.1 del Cisco UCS
Detalle e impacto de la vulnerabilidad:
- La gestión inadecuada del acceso basado en roles una
vez que se habilita el menú de desarrollador podría permitir a un atacante
habilitar, a través de su usuario, dicho menú. Con esto el usuario
puede añadir nuevos catálogos con
items de flujo de trabajo arbitrario arbitrarios a su perfil, lo que le
permitiría generar flujos con acciones que afecten otros usuarios.
Recomendación
- Cisco ha publicado una la versión de UCS Director
6.0.1.0, que corrige esta vulnerabilidad.
Más información
- Cisco UCS
Director Privilege Escalation Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170215-ucs