Cisco ha publicado 3 nuevos avisos de seguridad que contemplan 10 vulnerabilidades. De estas, 2 están clasificadas con severidad Alta y 8 con severidad Media. Dichas vulnerabilidades afectan productos de Cisco como:
- Cisco ATA 190 Series
- Cisco UCS Central Software
- Cisco Unified CCMP
Severidad Alta
CVE-2024-20458 [CVSSv3.1: 8.2]
Vulnerabilidad de autenticación del firmware del adaptador telefónico analógico Cisco ATA serie 190
Una vulnerabilidad en la interfaz de administración basada en web del firmware del adaptador de teléfono analógico Cisco ATA serie 190 podría permitir que un atacante remoto no autenticado vea o elimine la configuración o cambie el firmware en un dispositivo afectado. Esta vulnerabilidad se debe a la falta de autenticación en puntos finales HTTP específicos.
CVE-2024-20421 [CVSSv3.1: 7.1]
Vulnerabilidad de falsificación de solicitudes entre sitios del firmware del adaptador telefónico analógico Cisco ATA serie 190
Una vulnerabilidad en la interfaz de administración basada en web del firmware del adaptador de teléfono analógico Cisco ATA serie 190 podría permitir que un atacante remoto no autenticado realice un ataque de falsificación de solicitud entre sitios (CSRF) y realice acciones arbitrarias en un dispositivo afectado. Esta vulnerabilidad se debe a que no hay suficientes protecciones CSRF para la interfaz de administración basada en web de un dispositivo afectado.
Severidad Media
CVE-2024-20459 [CVSSv3.1: 6.5]
Vulnerabilidad de inyección de comandos de firmware multiplataforma en el adaptador telefónico analógico Cisco ATA serie 190
Una vulnerabilidad en la interfaz de administración basada en web del firmware del adaptador telefónico analógico Cisco ATA 190 Multiplatform Series podría permitir que un atacante remoto autenticado con altos privilegios ejecute comandos arbitrarios como usuario root en el sistema operativo subyacente. Esta vulnerabilidad se debe a la falta de limpieza de entradas en la interfaz de administración basada en la web
CVE-2024-20460 [CVSSv3.1: 6.1]
Vulnerabilidad de secuencias de comandos entre sitios reflejada en el firmware del adaptador telefónico analógico Cisco ATA serie 190
Una vulnerabilidad en la interfaz de administración basada en web del firmware del adaptador telefónico analógico Cisco ATA serie 190 podría permitir que un atacante remoto no autenticado realice un ataque de secuencias de comandos entre sitios (XSS) reflejado contra un usuario. Esta vulnerabilidad se debe a una validación insuficiente de la entrada del usuario.
CVE-2024-20461 [CVSSv3.1: 6.0]
Vulnerabilidad de inyección de comandos de firmware en el adaptador telefónico analógico Cisco ATA serie 190
Una vulnerabilidad en la CLI del firmware del adaptador telefónico analógico Cisco ATA serie 190 podría permitir que un atacante local autenticado con altos privilegios ejecute comandos arbitrarios como usuario root. Esta vulnerabilidad existe porque la entrada de la CLI no está debidamente depurada.
CVE-2024-20462 [CVSSv3.1: 5.5]
Vulnerabilidad de divulgación de información de firmware multiplataforma del adaptador telefónico analógico Cisco ATA serie 190
Una vulnerabilidad en la interfaz de administración basada en web del firmware del adaptador telefónico analógico multiplataforma Cisco ATA 190 Series podría permitir que un atacante local autenticado con bajos privilegios vea las contraseñas en un dispositivo afectado. Esta vulnerabilidad se debe a una limpieza incorrecta del contenido HTML de un dispositivo afectado.
CVE-2024-20463 [CVSSv3.1: 5.4]
Vulnerabilidad de inyección de comandos y denegación de servicio del firmware del adaptador telefónico analógico Cisco ATA serie 190
Una vulnerabilidad en la interfaz de administración basada en web del firmware del adaptador de teléfono analógico Cisco ATA serie 190 podría permitir que un atacante remoto no autenticado modifique la configuración o reinicie un dispositivo afectado. Esta vulnerabilidad se debe a que el servidor HTTP permite cambios de estado en las solicitudes GET.
CVE-2024-20420 [CVSSv3.1: 5.4]
Vulnerabilidad de escalada de privilegios del firmware del adaptador telefónico analógico Cisco ATA serie 190
Una vulnerabilidad en la interfaz de administración basada en web del firmware del adaptador de teléfono analógico Cisco ATA serie 190 podría permitir que un atacante remoto autenticado con bajos privilegios ejecute comandos como usuario administrador. Esta vulnerabilidad se debe a una verificación de autorización incorrecta por parte del servidor HTTP.
CVE-2024-20280 [CVSSv3.1: 6.3]
Una vulnerabilidad en la función de copia de seguridad de Cisco UCS Central permite que un atacante acceda a información confidencial almacenada en archivos de copia de seguridad completos de estado y configuración. Esta vulnerabilidad surge de una debilidad en el método de cifrado utilizado, ya que emplea una clave estática. Si un atacante consigue acceder a un archivo de copia de seguridad, podría obtener datos sensibles como credenciales de usuario local, contraseñas de servidores de autenticación, nombres de comunidad SNMP y claves y certificados SSL del dispositivo.
CVE-2024-20512 [CVSSv3.1: 6.1]
Una vulnerabilidad en la interfaz web de administración del Portal de Administración del Centro de Contacto Unificado de Cisco (Unified CCMP) permite que un atacante remoto no autenticado realice un ataque de secuencias de comandos entre sitios (XSS) reflejado. La vulnerabilidad se debe a la falta de validación adecuada de la entrada de usuario en la interfaz. Un atacante podría aprovecharla persuadiendo a un usuario para que haga clic en un enlace malicioso, lo que le permitiría ejecutar código de script arbitrario o acceder a información confidencial a través del navegador de la víctima.
Mitigación
- Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
Fuentes Utilizadas
