Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

09/11/2018

Es publiquen noves vulnerabilitats per a productes CISCO

S'han reportat 16 vulnerabilitats en productes CISCO, 4 de severitat crítica, 1 de severitat alta i 11 de severitat mitjana.

Les vulnerabilitats qualificades amb severitat crítica afecten: 

• Execució arbitrària de comandaments

• Accés amb privilegis

• Execució remota de codi

• Elusió de l'autenticació: una vulnerabilitat en la Stealthwatch Management Console (SMC) de Cisco Stealthwatch Enterprise

Pots trobar més informació en el següent enllaç.

Sistemes Afectats:

• Dispositius MR
• Dispositius MS
• Dispositius MX (incloent dispositius físics i el dispositiu virtual vMX100)
• Z1 and Z3 devices
• Cisco Unity Express totes la versions anteriors a la 9.0.6
• Cisco Stealthwatch Enterprise versions 6.10.2 i anteriors
• Famílies de productes de Cisco Small Business que executen qualsevol versió de software i no tinguen cap compte d'usuari amb privilegis d'accés configurats de nivell 15 en el dispositiu:
  • Cisco Small Business 200 Series Smart Switches
  • Cisco Small Business 300 Series Managed Switches
  • Cisco Small Business 500 Series Stackable Managed Switches
  • Cisco 250 Series Smart Switches
  • Cisco 350 Series Managed Switches
  • Cisco 350X i 550X Series Stackable Managed Switches

Referències:

CVE-2018-1538,CVE-2018-15439,CVE-2016-1000031,CVE-2018-15394

Solució:

Actualitzar a les noves versions dels productes

Notes:

Cisco Meraki Local Status Page Privilege Escalation Vulnerability
Cisco Unity Express Arbitrary Command Execution Vulnerability
Cisco Small Business Switches Privileged Access Vulnerability
Cisco Stealthwatch Management Console Authentication Bypass Vulnerability
Apache Struts Commons FileUpload Library Remote Code Execution Vulnerability Affecting Cisco Products: November 2018
Cisco Content Security Management Appliance (SMA) Cross-Site Scripting Vulnerability
Cisco Registered Envelope Service Information Disclosure Vulnerability
Cisco Prime Service Catalog Cross-Site Scripting Vulnerability
Cisco Prime Collaboration Assurance File Overwrite Vulnerability
Cisco Meeting Server Information Disclosure Vulnerability
Cisco Immunet and Cisco AMP for Endpoints System Scan Denial of Service Vulnerability
Cisco Firepower Detection Engine TCP Intrusion Prevention System Rule Bypass Vulnerability
Cisco Energy Management Suite XML External Entity Vulnerability
Cisco Energy Management Suite Cross-Site Request Forgery Vulnerability
Cisco Integrated Management Controller Supervisor SQL Injection Vulnerability
Cisco Video Surveillance Media Server Denial of Service Vulnerability

CSIRT-CV