Vulnerability Bulletins |
Múltiples vulnerabilidades en Cisco Small Business SRP 500 Series |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Obtener acceso |
| Dificulty | Experto |
| Required attacker level | Acceso remoto sin cuenta a un servicio exotico |
System information |
|
| Property | Value |
| Affected manufacturer | Networking |
| Affected software |
Cisco Small Business SRP 500 Series: Cisco SRP 521W Cisco SRP 526W Cisco SRP 527W Cisco SRP 521W-U Cisco SRP 526W-U Cisco SRP 527W-U Cisco SRP 541W Cisco SRP 546W Cisco SRP 547W |
Description |
|
|
Se han descubierto múltiples vulnerabilidades en CISCO Small Business SRP 500 Series. Las vulnerabilidades son descritas a continuación: CVE-2012-0363 - La vulnerabilidad reside en un error que permite a un usuario con una sesión autenticada inyectar comandos para ser ejecutados por el sistema operativo. Un atacante remoto podría ejecutar un ataque “man-in-the-middle” o atraer o a un administrador a un enlace modificado para interceptar una sesión autenticada y ejecutar comandos en el sistema operativo con privilegios de root. CVE-2012-0364 - La vulnerabilidad reside en un error que permite a un usuario no autenticado subir al dispositivo un fichero de configuración no autorizado. Un atacante remoto podría crear un fichero de configuración y subirlo usando una URL no autenticada modificando la configuración del dispositivo. CVE-2012-0365 – La vulnerabilidad reside en un error la aplicación de subida de ficheros Local TFTP que podría permitir subir ficheros al sistema operativo. Un atacante remoto no autenticado podría atraer a un usuario autenticado a usar un enlace debidamente modificado o instalar ficheros maliciosos en los servidores FTP y HTTP del dispositivo que los administradores podrían usar. |
|
Solution |
|
|
Cisco ha publicado actualizaciones de software gratuitas para tratar la vulnerabilidad descrita en el aviso. Los clientes deben obtener el software actualizado a través de sus canales regulares de actualización. Actualización de software: http://www.cisco.com |
|
Standar resources |
|
| Property | Value |
| CVE | CVE-2012-0363, CVE-2012-0364, CVE-2012-0365 |
| BID | |
Other resources |
|
|
CISCO Security Advisory cisco-sa-20120223-srp500 http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120223-srp500 |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2012-02-25 |