Cisco ha publicado un
parche de seguridad que corrige una vulnerabilidad en su producto Data Center
Network Manager que podría facilitar a un atacante el acceso a información
sensible.
Data Center Network
Manager, es un gestor de equipos Cisco que permite crear, monitorizar y
administrar redes enfocada a los Data Centers.
La vulnerabilidad,
encontrada por el equipo de seguridad de la empresa Tenable (conocida por su
producto, Nessus), podría permitir a un atacante sin autenticación la obtención
de archivos con información sensible. Mediante esta técnica, se podría escalar
privilegios hasta llegar a obtener el control del sistema afectado.
El fallo, que ya ha
sido corregido, se basa en una falta de filtrado adecuado en las cadenas de peticiones
http procedentes del usuario. En determinados parámetros, es posible emplear
una ruta hacia un archivo del sistema, haciendo que la aplicación lea su
contenido o sirva dicho archivo a través de la aplicación web.
Las versiones
anteriores a la 11.0(1) se encuentran afectadas. Cisco ha publicado una
actualización para los sistemas afectados disponible a través de la web de
soporte. La vulnerabilidad posee una puntuación 8.1 bajo el estándar CVSS y se
le ha asignado el CVE-2018-0464.
Más información:
Fuente: Hispasec