Cisco ha publicado una vulnerabilidad
de denegación de servicio y otra de ejecución arbitraria de código que afectan
a varios de sus productos, catalogada de importancia: 4 - Alta
Recursos afectados:
1.
Expressway
Series configurado para acceso móvil y remoto con IM&P Service, versiones
desde X8.1 hasta X12.5.2
2.
TelePresence
VCS configurado para acceso móvil y remoto con IM&P Service, versiones
desde X8.1 hasta X12.5.2
3.
Unified
Communications Manager IM&P Service, versiones:
a.
10.5(2)
b.
11.5(1)
c.
12.0(1)
4.
Cisco
Industrial Network Director, versiones anteriores a 1.6.0
Recomendación
Cisco ha publicado diversas actualizaciones en función
del producto afectado, disponibles en su centro de descargas (https://software.cisco.com/download/home
)
1.
Expressway
Series configurada para acceso móvil y remoto con IM&P Service, actualizar
a la versión X12.5.3 o superior.
2.
TelePresence
VCS configurada para acceso móvil y remoto con IM&P Service, actualizar a
la versión X12.5.3 o superior.
3.
Unified
Communications Manager IM&P Service:
a.
para
la versión 10.5(2), actualizar a 11.5(1) SU6 o 12.5(1)
b.
para
la versión 11.5(1), actualizar a 11.5(1) SU6
c.
para
la versión 12.0(1), actualizar a 12.5(1)
4.
Cisco
Industrial Network Director, actualizar a la versión 1.6.0 o superior.
Detalle de vulnerabilidades
Un atacante remoto podría enviar una
solicitud de autenticación malformada a Extensible Messaging and Presence
Protocol (XMPP), pudiendo provocar un reinicio inesperado del servicio de
autenticación y causar un condición de denegación de servicio (DoS). Se ha
asignado el identificador CVE-2019-1845 para esta vulnerabilidad.
Una validación incorrecta de los
archivos cargados en la aplicación podría permitir a un atacante autenticado
con privilegios de administrador cargar un archivo arbitrario y ejecutar
código. Se ha asignado el identificador CVE-2019-1861 para esta vulnerabilidad.
Más información
Fuente: INCIBE