Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos Cisco

Fecha de publicación 28/03/2019
Importancia
4 - Alta
Recursos Afectados
  • Cisco IOS o IOS XE Software:
    • Con la función web server habilitada.
    • Con Cisco Plug-and-Play (PnP) habilitado e inicializado.
    • Configurado para operaciones NBAR.
    • Configurado con NAT64 (Stateless o Stateful), Mapping of Address y Port Using Translation (MAP-T), o Mapping of Address y Port Using Encapsulation (MAP-E).
    • Configurado con una interfaz ISDN (RDSI).
    • Configurado para operaciones IP SLA.
    • Configurado para usar la función Cisco ETA.
  • Switches Cisco Catalyst 4500/4500X Series.
  • Sierra Wireless WWAN cellular interface con:
    • Cisco IOS Software Release 15.8(3)M.
    • Cisco IOS XE Software Release 16.10.1.
  • Cisco ASR 900 RSP3 que ejecutan el software Cisco IOS XE y están configurados para OSPFv2 routing y OSPF Message Digest 5 (MD5) cryptographic authentication.
Descripción

Cisco ha publicado 23 vulnerabilidades, siendo 17 de ellas de severidad alta y 6 de criticidad media.

Solución
  • Cisco ha publicado diversas actualizaciones, en función del producto afectado, que solucionan las vulnerabilidades. Puede acceder a las actualizaciones desde el panel de descargas de software de Cisco.
Detalle

Las vulnerabilidades de severidad alta son las siguientes, con sus correspondientes identificadores asignados:

  • Divulgación de información: CVE-2019-1742.
  • Inyección de comandos: CVE-2019-1745, CVE-2019-1756 y CVE-2019-1755.
  • Denegación de servicio: CVE-2019-1747, CVE-2019-1749, CVE-2019-1738, CVE-2019-1739, CVE-2019-1740, CVE-2019-1751, CVE-2019-1752, CVE-2019-1737, CVE-2019-1750, CVE-2019-1741 y CVE-2019-1746.
  • Validación de certificado insuficiente: CVE-2019-1748.
  • Escalada de privilegios: CVE-2019-1754 y CVE-2019-1753.
  • Subida de ficheros arbitrarios: CVE-2019-1743.

Para las vulnerabilidades de severidad media, se han asignado los siguientes identificadores: CVE-2019-1760, CVE-2019-1758, CVE-2019-1757, CVE-2019-1762, CVE-2019-1761 y CVE-2019-1759

Encuesta valoración

Listado de referencias