Cisco lanzó este miércoles varios parches de seguridad para corregir varias vulnerabilidades de los cuales una está calificada como nivel crítico y podría ser utilizado para llevar a cabo ataques de «path trasversal».
La vulnerabilidad clasificada como (CVE-2022-20812 y CVE-2022-20813) han sido consideradas por Cisco de nivel crítico en la escala CVSS. Dichas vulnerabilidades afectan a la serie Expressway de Cisco y al servidor de comunicación de vídeo TelePresence (VCS) de Cisco. Un atacante podría sobrescribir archivos arbitrarios o realizar ataques de envenenamiento de bytes nulos en un dispositivo afectado.
Productos Afectados
La empresa Cisco ha publicado recientemente un aviso de seguridad sobre sus productos afectados:
Productos afectados – VulneravilidadesRiesgoCVECisco Expressway Series y Cisco TelePresence Video Communication Server – Escritura de ficheros arbitrarios y envenenamiento de bytes nulosCrtíticoCVE-2022-20812
CVE-2022-20813Cisco Smart Software Manager On-Prem – Denegación de Servicio (DoS)AltoCVE-2022-20808Cisco Unified Communications – Ataque por TiempoMedioCVE-2022-20752Cisco Unified Communications Manager – Lectura de ficheros arbitrariosMedioCVE-2022-20862Cisco Unified Communications Products – Controles de Acceso insuficientesMedioCVE-2022-20859Cisco TelePresence Collaboration Endpoint and RoomOS Software – Divulgación de informaciónMedioCVE-2022-20768Cisco Unified Communications Products – Cross-Site Scripting (XSS)MedioCVE-2022-20815Cisco Unified Communications Products – Cross-Site Scripting (XSS)MedioCVE-2022-20800Cisco Unified Communications Products – Lectura de ficheros arbitrariosMedioCVE-2022-20791
Solución
Cisco recomienda actualizar y parchear los productos afectados, para ello ha publicado actualizaciones de software, que solucionan las vulnerabilidades descritas y pueden ser descargadas desde el Centro de Software.
Referencias:
Cisco Security Advisory: https://tools.cisco.com/security/center/publicationListing.x
Centro de Software: https://software.cisco.com/download/home
La entrada Cisco publica parches de seguridad para varios de sus productos se publicó primero en Una al Día.