Nuevas vulnerabilidades críticas en productos Cisco

La primera vulnerabilidad crítica identificada con el CVE-2019-16005 y está relacionada al producto Cisco Webex Video Mesh (un software utilizado para realizar reuniones online con alta calidad de audio y video), el cual posee una vulnerabilidad de inyección de comandos, la cual permite que un usuario administrador de WebEx pueda ejecutar comandos a nivel de sistema operativo con altos privilegios en la máquina host. Para ver la lista completa de versiones afectadas click.

La segunda vulnerabilidad crítica está identificada con el CVE-2019-16009 y está relacionada a los productos Cisco IOS y Cisco IOS XE (sistemas operativos de cisco), en su componente web que permite a atacantes que no estén autenticados en el sistema, realizar ataques del tipo CSRF (Cross-Site request Forgery) enviando enlaces maliciosos a usuarios autenticados, con el fin de ejecutar acciones que les permitan ganar privilegios en el sistema. Para ver la lista completa de versiones afectadas click.


Con respecto a la vulnerabilidad de riesgo medio identificada con el CVE-2020-3116, la misma afecta a productor Cisco Webex y permite a un atacante causar una denegación de servicio al enviar archivos UCF (Universal Communications Format) diseñados de manera específica a través de un enlace o adjuntos en un correo. Para ver la lista completa de versiones afectadas click.

Recomendaciones:

  • Aplicar las actualizaciones brindadas por Cisco para la solución de problemas.
  • Filtrar el acceso a interfaces de administración de los equipos.
  • Concientizar a los administradores para identificar enlaces maliciosos.

Referencias:

Compartir: