Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos de Cisco

Fecha de publicación 30/07/2020
Importancia
5 - Crítica
Recursos Afectados
  • Todos los modos de implementación de todos los dispositivos Cisco DCNM que se instalaron utilizando archivos de tipo .ova o .iso;
  • Cisco DCNM, versiones 11.0(1), 11.1(1), 11.2(1) y11.3(1);
  • dispositivos Cisco que estén ejecutando una versión vulnerable de Cisco SD-WAN vManage;
  • los siguientes productos de Cisco, si están ejecutando una versión vulnerable de Cisco SD-WAN Solution Software:
    • IOS XE SD-WAN Software,
    • SD-WAN vBond Orchestrator Software,
    • SD-WAN vEdge Cloud Routers,
    • SD-WAN vEdge Routers,
    • SD-WAN vManage Software,
    • SD-WAN vSmart Controller Software.
Descripción

Se han identificado 3 vulnerabilidades de severidad crítica que afectan a múltiples productos de Cisco.

Solución

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden descargarse desde el panel de descarga de Software de Cisco. Para información más detallada, consulte la sección Referencias.

Detalle
  • Una vulnerabilidad en la API REST de Cisco Data Center Network Manager (DCNM) podría permitir que un atacante remoto, no autenticado, omitiese la autenticación y ejecutase acciones arbitrarias con privilegios administrativos en el dispositivo afectado. Se ha reservado el identificador CVE-2020-3382 para esta vulnerabilidad.
  • Una vulnerabilidad en la interfaz web de administración del software Cisco SD-WAN vManage podría permitir que un atacante remoto, autenticado, omitiese la autorización, permitiéndole acceder a información confidencial, modificar la configuración del sistema o afectar la disponibilidad del sistema afectado. Se ha reservado el identificador CVE-2020-3374 para esta vulnerabilidad.
  • Una vulnerabilidad en Cisco SD-WAN Solution Software podría permitir que un atacante remoto, no autenticado, causase un desbordamiento de búfer en un dispositivo afectado. Se ha reservado el identificador CVE-2020-3375 para esta vulnerabilidad.

Encuesta valoración