esenfrdeitptru

Cisco lanza actualizaciones de seguridad para varios productos

AS-019-2022

Fecha: 04/Mar/2022

Resumen:

Cisco ha lanzado actualizaciones de seguridad para abordar vulnerabilidades en múltiples productos. Un atacante podría explotar algunas de estas vulnerabilidades para tomar el control de un sistema afectado.

Productos afectados:

  • CVE-2022-20665 (puntuación CVSS: 6.0): vulnerabilidad de inyección de comandos en Cisco StarOS que podría permitir que un atacante con credenciales administrativas ejecute código arbitrario con privilegios de root.
  • CVE-2022-20756 (puntuación CVSS: 8,6): vulnerabilidad de denegación de servicio (DoS) que afecta a la función RADIUS de Cisco Identity Services Engine (ISE).
  • CVE-2022-20762 (puntuación CVSS: 7,8): un error de escalada de privilegios en la CLI ConfD del entorno de ejecución común (CEE) del software Cisco Ultra Cloud Core - Subscriber Microservices Infrastructure (SMI) que podría permitir que un atacante local autenticado escale a privilegios de root.

Recomendación.

CISA anima a los usuarios y administradores a revisar los avisos de seguridad de Cisco y aplicar las actualizaciones necesarias de los productos afectados.

Referencias:

https://us-cert.cisa.gov/ncas/current-activity/2022/03/03/cisco-releases-security-updates-multiple-products
https://www.securityweek.com/cisco-patches-critical-vulnerabilities-expressway-telepresence-vcs-products
https://thehackernews.com/2022/03/critical-patches-issued-for-cisco.html
https://securityaffairs.co/wordpress/128627/security/cisco-expressway-telepresence-vcs-flaws.html