Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

04/04/2011

Vulnerabilidad de cambio de contraseña en Cisco Secure ACS

Se ha informado de una vulnerabilidad en Cisco Secure Access Control System, que podría ser aprovechado por gente maliciosa para eludir determinadas restricciones de seguridad.

La vulnerabilidad está provocada por un error en la interfaz web de gestión, que acepta peticiones de cambio de contraseña sin comprobar la autenticación. Esto podría ser aprovechado para cambiar la contraseña de los usuarios definidos en el almacén interno a través de peticiones especialmente manipuladas.

La vulnerabilidad afecta a las siguientes versiones:

• Cisco Secure ACS versión 5.1 con el parche 3, 4, o 5 instalados y sin el parche 6 o posteriores.
• Cisco Secure ACS versión 5.2 sin parches instalados.
• Cisco Secure ACS versión 5.2 con el parche 1 o 2 instalados q sin el parche 3 o posteriores.

Sistemas Afectados:

Cisco Secure ACS 5.x

Referencias:

None

Solución:

Aplicar las actualizaciones.

Notas:

cisco-sa-20110330-acs:
http://www.cisco.com/warp/public/707/cisco-sa-20110330-acs.shtml

CSIRT-CV