Se han publicado 4
vulnerabilidades, 1 de ellas crítica y el resto de severidad alta que podrían
permitir a un atacante ejecutar código arbitrario, causar una denegación de
servicio o autenticarse con una contraseña inválida en los productos afectados,
catalogadas de Importancia: 5 - Crítica
Recursos afectados:
RV132W ADSL2+
Wireless-N VPN Router
RV134W VDSL2
Wireless-AC VPN Router
Cisco Virtualized
Packet Core−Distributed Instance (VPC−DI) Software ejecutando versiones
específicas del sistema operativo Cisco StarOS
Aplicación Cisco
Policy Suite en versiones anteriores a 13.1.0 con Hotfix Patch 1 estando la
autenticación con RADIUS configurada para un dominio
Cisco UCS Central
Software anterior a la versión 2.0(1c)
Recomendación
- Los usuarios que posean un contrato de servicio en
vigor, podrá descargar una actualización que solucione la vulnerabilidad
de su producto en: https://software.cisco.com/download/navigator.html
- Si no se posee un contrato de servicio, por favor
consultar con su Cisco TAC: https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html
Detalle
de vulnerabilidades
La vulnerabilidad que
afecta a los routers wireless es de severidad crítica y podría permitir a un
atacante remoto no autenticado el control total del dispositivo, incluyendo la
ejecución de comandos con provilegios de root. Se ha reservado el identificador
CVE-2018-0125.
La vulnerabilidad que
afecta a Cisco Virtualized Packet Core-Distributed Instance (VPC-DI) Software
se debe a una validación incorrecta de la entrada de datos que podría permitir
a un atacante enviar tráfico especialmente diseñado causando un error no
controlado que provocaría una condición de denegación de servicio. Se ha
reservado el identificador CVE-2018-0117 para esta vulnerabilidad.
La vulnerabilidad que
afecta a la Cisco Policy Suite permitiría que un usuario fuera autorizado como
suscriptor proporcionando una contraseña no válida. Se ha reservado el
identificador CVE-2018-0116 para esta vulnerabilidad.
La vulnerabilidad que
afecta a Cisco UCS Central, podría permitir la ejecución de comandos de shell
arbitrarios con los privilegios del demonio user. Se ha reservado el
identificador CVE-2018-0113 para esta vulnerabilidad.
Más información
·
Certsi
https://www.certsi.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-productos-cisco-25
Fuente: INCIBE