Vulnerabilidades en productos Cisco

Vulnerabilidades en productos Cisco

Fecha: 16/06/2016

Descripción: 

Cisco ha publicado varias actualizaciones que corrigen diferentes vulnerabilidades en algunos de sus productos. Estos fallos podrían permitir la ejecución de código arbitrario, provocar el desbordamiento de memoria o XSS.

Detalle: 

Ejecución de código arbitrario (crítica): una vulnerabilidad en el interfaz web de los routers afectados podría permitir la ejecución de código arbitrario con permisos de administrador. El fallo se produce por una validación insuficiente de los datos de entrada del usuario en los campos de las peticiones HTTP, por lo que el atacante podría explotar esta vulnerabilidad enviando peticiones HTTP manipuladas con los datos del usuario. Se ha reservado el identificador CVE-2016-1395.

Desbordamiento de memoria (media): vulnerabilidades en la gestión del interfaz web de los routers afectados podría permitir a un atacante remoto provocar un desbordamiento de memoria en los sistemas afectados. Los fallos se deben igualmente a una validación insuficiente de los datos de entrada del usuario en los campos de las peticiones HTTP, por lo que el atacante podría explotarlo enviando peticiones HTTP que contengan comandos de configuración con payloads manipulados. Se han reservado los identificadores CVE-2016-1397 y CVE-2016-1398.

Vulnerabilidad de XSS (media): un fallo en la gestión del interfaz web de los routers afectados podría permitir a un atacante remoto llevar a cabo un XSS contra el interfaz web de gestion de los dispositivos afectados. Este hecho se produce por la validación incorrecta de ciertos parámetros de entrada enviados al dispositivo mediante HTTP GET o HTTP POST. Se ha reservado el identificador CVE-2016-1396.

http://cert.inteco.es/rss/Actualidad/Avisos_seguridad_tecnicos/?sectionID=1114384