Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos de Cisco

Fecha de publicación 21/01/2021
Importancia
5 - Crítica
Recursos Afectados
  • Cisco DNA Center Software, versiones 1.3.1.0 y anteriores;
  • Cisco Smart Software Manager Satellite, versiones 5.1.0 y anteriores;
  • los siguientes productos, si ejecutan una versión vulnerable de Cisco SD-WAN Software:
    • SD-WAN vBond Orchestrator Software;
    • SD-WAN vEdge Cloud Routers;
    • SD-WAN vEdge Routers;
    • SD-WAN vManage Software;
    • SD-WAN vSmart Controller Software;
    • IOS XE SD-WAN Software.
Descripción

Se han identificado 14 vulnerabilidades en productos de Cisco, de las que 6 son de severidad crítica y podrían permitir a un atacante remoto ejecutar comandos arbitrarios o provocar una condición de desbordamiento de búfer.

Solución

Las actualizaciones que corrigen las vulnerabilidades indicadas se pueden descargar desde el panel de descarga de Software de Cisco. Para información más detallada, consulte la sección Referencias.

Detalle

Un atacante remoto y no autenticado podría ejecutar comandos arbitrarios aprovechando una validación incorrecta de entrada en la interfaz de usuario web de SD-WAN vManage Software, en la herramienta Command Runner de DNA Center o en la interfaz de usuario web Smart Software Manager Satellite, enviando una entrada especialmente diseñada. Se han asignado los identificadores CVE-2021-1299, CVE-2021-1264, CVE-2021-1138, CVE-2021-1140 y CVE-2021-1142 para estas vulnerabilidades, respectivamente.

Una vulnerabilidad de manejo incorrecto del tráfico IP podría permitir a un atacante enviar tráfico IP, especialmente diseñado, y provocar un desbordamiento de búfer. Se ha asignado el identificador CVE-2021-1300 para esta vulnerabilidad.

Para las vulnerabilidades de severidad alta se han asignado los identificadores CVE-2021-1261, CVE-2021-1260, CVE-2021-1139 y CVE-2021-1141.
Para las vulnerabilidades de severidad media se han asignado los identificadores CVE-2021-1263, CVE-2021-1262, CVE-2021-1298 y CVE-2021-1301.

Encuesta valoración