Cisco lanza 20 actualizaciones de seguridad

Cisco ha lanzado 20 actualizaciones, incluida una actualización crítica para su solución SD-WAN, vContainer, donde la vulnerabilidad encontrada podría permitir que un atacante remoto autentificado causara denegación de servicio (DoS) y ejecutara código arbitrario como usuario root.

De acuerdo con la página de asesoramiento sobre seguridad del proveedor, la vulnerabilidad de vContainer  permitía a un atacante que enviara un archivo malicioso a un vContainer, y en caso de éxito, éste podría causar un desbordamiento del búfer en el vContainer afectado, lo que podría resultar en un DoS que el atacante podría usar para ejecutar código arbitrario como usuario root. Los afectados pueden encontrar aquí una actualización de software para reparar vContainers

Cisco también reveló 11 vulnerabilidades de alto riesgo, incluida una en los equipos de Cisco Webex, anteriormente conocido como Cisco Spark y en el reproductor de grabación en red Cisco Webex así como en el reproductor Webex para Microsoft Windows. El software afectado valida incorrectamente los archivos de Formato de Grabación Avanzado (ARF) y Formato de Grabación Webex (WRF), causando la brecha.

Otras vulnerabilidades de alto riesgo se hallaron en la configuración del grupo de usuarios Cisco SD-WAN Solution que permite el acceso a los contenedores de vSmart y en la CLI local de Cisco SD-WAN, que podría permitir a un atacante local autentificado modificar los archivos de configuración del dispositivo.

Por último, otros puntos susceptibles se encontraron en el interfaz de administración basado en web de Cisco Small Business RV320 y RV325 Dual Gigabit WAN VPN Routers, en el interfaz web administrativo de Cisco Identity Services Engine (ISE), en la implementación del protocolo UDP para Cisco IoT Field Network Director ( IoT-FND) así como en el componente de adquisición de datos (DAQ) del software Cisco Firepower Threat Defense (FTD).