Inyección de comandos en Cisco Ultra-Reliable Wireless Backhaul
Las versiones 17.15, 17.14 y anteriores de Cisco Unified Industrial Wireless Software están afectadas por esta vulnerabilidad.
Esta vulnerabilidad afecta a los siguientes productos Cisco si ejecutan una versión vulnerable y tienen habilitado el modo operativo URWB:
- puntos de acceso de alta resistencia Catalyst IW9165D,
- puntos de acceso y clientes inalámbricos ruguerizados Catalyst IW9165E,
- puntos de acceso de alta resistencia Catalyst IW9167E.
DJ Cole, investigador de Cisco, descubrió durante unas pruebas internas de seguridad una vulnerabilidad de severidad crítica que afecta a la interfaz web de gestión del software Cisco Unified Industrial Wireless para puntos de acceso Cisco Ultra-Reliable Wireless Backhaul (URWB). La explotación de esta vulnerabilidad podría permitir a un atacante, remoto y no autenticado, realizar ataques de inyección de comandos con privilegios de root.
Actualizar Cisco Unified Industrial Wireless Software a la versión 17.15.1.
Esta vulnerabilidad se origina por una validación incorrecta de la entrada a la interfaz web de gestión de URWB. Un atacante podría explotar esta vulnerabilidad enviando peticiones HTTP maliciosas a dicha interfaz, lo que podría permitir la ejecución de comandos arbitrarios con privilegios de root en el sistema operativo subyacente del dispositivo afectado. Se ha asignado el identificador CVE-2024-20418 para esta vulnerabilidad.
