Múltiples vulnerabilidades en Small Business Switches de Cisco
Fecha de publicación 30/01/2020
Importancia
4 - Alta
Recursos Afectados
- Los siguientes productos Cisco que utilicen un firmware anterior a la versión 2.5.0.92:
- 200 Series Smart Switches;
- 300 Series Managed Switches;
- 500 Series Stackable Managed Switches;
- 550X Series Stackable Managed Switches.
- Los siguientes productos Cisco que utilicen un firmware anterior a la versión 1.4.11.4:
- 200 Series Smart Switches;
- 300 Series Managed Switches;
- 500 Series Stackable Managed Switches.
- Los siguientes productos Cisco que utilicen un firmware anterior a la versión 1.3.7.18:
- 200 Series Smart Switches;
- 300 Series Managed Switches;
- 500 Series Stackable Managed Switches.
Descripción
El investigador, Ken Pyle, de DFDR Consulting LLC, ha notificado a Cisco la existencia de dos vulnerabilidades de criticidad alta en sus Small Business Switches. Un atacante remoto, sin autenticación, podría generar una condición de denegación de servicio (DoS) o acceder a información sensible de los dispositivos.
Solución
- Actualizar los siguientes productos de Cisco a la versión de firmware 2.5.0.92: (CVE-2019-15993)
- 200 Series Smart Switches;
- 300 Series Managed Switches;
- 500 Series Stackable Managed Switches;
- 550X Series Stackable Managed Switches.
- Actualizar los siguientes productos de Cisco a la versión de firmware 1.4.11.4: (CVE-2019-15993)
- 200 Series Smart Switches;
- 300 Series Managed Switches;
- 500 Series Stackable Managed Switches.
- Actualizar los siguientes productos de Cisco a la versión de firmware 1.3.7.18: (CVE-2020-3147)
- 200 Series Smart Switches;
- 300 Series Managed Switches;
- 500 Series Stackable Managed Switches.
Detalle
- Una vulnerabilidad en la interfaz de usuario web podría permitir a un atacante remoto, no autenticado, enviar una petición HTTP maliciosa y obtener información sensible del dispositivo. Se ha reservado el identificador CVE-2019-15993 para esta vulnerabilidad.
- Una falta de validación en las peticiones enviadas a la interfaz web podrían permitir a un atacante remoto enviar peticiones maliciosas y generar una condición de denegación de servicio (DoS) en el dispositivo. Se ha asignado el identificador CVE-2020-3147 para esta vulnerabilidad.
Listado de referencias
Etiquetas