CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

24/10/2011

Execució arbitrària de comandaments en CiscoWorks Common Services

Cisco ha confirmat l'existència d'una vulnerabilitat en CiscoWorks Common Services, en totes les versions anteriors a la 4.1 per a Microsoft Windows, que podria permetre l'execució de comandaments arbitraris a atacants remots.

Risc: Alt

Es veuen afectats CiscoWorks LAN Management Solution, Cisco Security Manager, Cisco Unified Operations Manager, Cisco Unified Service Monitor, CiscoWorks Quality of Service Policy Manager i CiscoWorks Voice Manager incloent Common Services.

CiscoWorks Common Services és un conjunt de serveis d'administració compartits per les aplicacions de gestió de xarxes de Cisco.

El problema residix una validació incorrecta d'entrades en el component CiscoWorks Home Page. Un atacant pot enviar una URL específicament creada als ports TCP 443 o 1741, per a aconseguir l'execució de comandaments arbitraris en el sistema afectat amb privilegis d'administrador.

Sistemes Afectats:

CiscoWorks Common Services versions anteriors a la 4.1

Referències:

None

Solució:

Cisco ha publicat la versió CiscoWorks Common Services 4.1, per a resoldre aqueste problema.

Notes:

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111019-cs
http://www.hispasec.com/unaaldia/4745

Font: Hispasec una-al-día

CSIRT-CV