Vulnerabilidades de denegación de servicio (DoS) y cross-site request forgery (CSRF) en productos Cisco

23/02/2023 Noticias 0

Se ha reportado un nuevo aviso de seguridad sobre dos vulnerabilidades que afectan a productos Cisco, que permitirían a un atacante remoto realizar ataques del tipo cross-site request forgery (CSRF) y denegación de servicio (DoS) en el sistema afectado. 

Las vulnerabilidades reportadas se componen de 2 (dos) de severidad “Alta”. Las mismas se detallan a continuación: 

  • CVE-2023-20011, de severidad “Alta”, con puntuación de 8.8. Esta vulnerabilidad se debe a una falla de seguridad en la interfaz de administración basada en web de Cisco Application Policy Infrastructure Controller (APIC) y Cisco Cloud Network Controller. Al persuadir a una víctima para hacer clic en un enlace especialmente diseñado, un atacante con privilegios de usuario podría realizar ataques del tipo cross-site request forgery (CSRF), generar acciones arbitrarias, modificaciones en la configuración del sistema y creación de nuevas cuentas con privilegios. 
  • CVE-2023-20089, de severidad “Alta”, con puntuación de 7.4. Esta vulnerabilidad se debe a una falla de seguridad en la validación de datos de entrada en la función Link Layer Discovery Protocol (LLDP). Esto permitiría a un atacante no autenticado a través de paquetes LLDP especialmente diseñadas enviadas al dispositivo afectado, realizar pérdida de memoria y provocar denegación de servicio (DoS). 

Los productos afectados son:  

  • Cisco APIC, versiones 4.2, 5.0, 5.1, 5.2 y 6.0.  
  • Cisco Cloud Network Controller, versiones 4.2, 5.0, 5.1, 5.2, 25.0 y 25.1. 
  • Cisco Nexus 9000 Series Fabric Switches. 

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante el siguiente enlace: 

Referencias: 

Compartir: