Pasar al contenido principal
#UruguaySeVacuna: Agendate y accedé a toda la información sobre las vacunas.
Alerta

CVE-2021-1289: nueva vulnerabilidad detectada en Cisco

Creación: 05/02/2021
Última actualización: 05/02/2021
Se ha publicado una nueva vulnerabilidad de criticidad alta que permite a un atacante, sin necesidad de estar autenticado, ejecutar código arbitrario a través de la interfaz de administración web en equipos Cisco.
CISCO

Se ha publicado una nueva vulnerabilidad de criticidad alta que permite a un atacante, sin necesidad de estar autenticado, ejecutar código arbitrario a través de la interfaz de administración web en equipos Cisco.

Se trata de una vulnerabilidad del tipo RCE (Remote Code Execution) producida por el control débil que se realiza a Requests HTTP cuando estos contienen atributos con la propiedad “hidden”.

Dada la ausencia de controles en los atributos de tipo “hidden” un atacante podría enviar Requests especialmente elaboradas a la interfaz web de administración del equipo afectado.

Al explotar la vulnerabilidad es posible ejecutar código arbitrario en el equipo con permisos de root, lo que podría permitirle a un atacante acceder a información de otros usuarios y modificar configuraciones, entre otras posibilidades.

Remediación

La vulnerabilidad ha sido solucionada en la versión 1.0.01.02 que se encuentra publicada en el sitio web de Cisco, para descargarla es necesario ir a la sección de “Browse all”, seleccionar la opción de “Routers – Small Business Routers – Small Business RV Series Routers”, seleccionar el modelo correspondiente y por último descargar la versión de firmware más reciente.

Recomendaciones

Se insta al administrador de red a actualizar de forma urgente para mitigar la vulnerabilidad.

Referencias

Vulnerabilidades de ejecución remota de código de los routers VPN Cisco Small Business RV160, RV160W, RV260, RV260P y RV260W, en el sitio de Cisco
CWE-472: Control externo de parámetro web supuestamente inmutable, en el sitio de CWE
Detalle de CVE-2021-1289 en el sitio de NVD NIST

 

Etiquetas