Cisco ha lanzado nuevas actualizaciones de seguridad en varios de sus productos, que resuelven dos fallas de seguridad críticas que afectan a sus productos.
Productos afectados:
- Cisco Smart License Utility versiones 2.0.0, 2.1.0 y 2.2.0.
- Cisco Identity Services Engine (ISE) versiones 3.2 (3.2P7) y 3.3 (3.3P4).
Impacto:
Las vulnerabilidades críticas se identifican como:
CVE-2024-20439: con una puntuación en CVSSv3 de 9.8 que podría permitir a un actor malicioso remoto no autenticado acceder al sistema afectado utilizando credenciales administrativas estáticas, comprometiendo la integridad y confidencialidad de los datos.
CVE-2024-20440: con una puntuación en CVSSv3 de 9.8 que podría permitir a un actor malicioso remoto no autenticado acceder a información confidencial a través de un exceso de verbosidad en los registros de depuración que pueden ser utilizados para acceder a la API.
Recomendación:
Actualizar a la última versión más reciente disponible del producto afectado desde la página web oficial del fabricante.
Referencias:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-meraki-agent-dll-hj-Ptn7PtKe
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cslu-7gHMzWmw