Miembros de
Boletines de Vulnerabilidades |
Múltiples vulnerabilidades en Cisco Small Business SRP 500 Series |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Obtener acceso |
| Dificultad | Experto |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio exotico |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | Networking |
| Software afectado |
Cisco Small Business SRP 500 Series: Cisco SRP 521W Cisco SRP 526W Cisco SRP 527W Cisco SRP 521W-U Cisco SRP 526W-U Cisco SRP 527W-U Cisco SRP 541W Cisco SRP 546W Cisco SRP 547W |
Descripción |
|
|
Se han descubierto múltiples vulnerabilidades en CISCO Small Business SRP 500 Series. Las vulnerabilidades son descritas a continuación: CVE-2012-0363 - La vulnerabilidad reside en un error que permite a un usuario con una sesión autenticada inyectar comandos para ser ejecutados por el sistema operativo. Un atacante remoto podría ejecutar un ataque “man-in-the-middle” o atraer o a un administrador a un enlace modificado para interceptar una sesión autenticada y ejecutar comandos en el sistema operativo con privilegios de root. CVE-2012-0364 - La vulnerabilidad reside en un error que permite a un usuario no autenticado subir al dispositivo un fichero de configuración no autorizado. Un atacante remoto podría crear un fichero de configuración y subirlo usando una URL no autenticada modificando la configuración del dispositivo. CVE-2012-0365 – La vulnerabilidad reside en un error la aplicación de subida de ficheros Local TFTP que podría permitir subir ficheros al sistema operativo. Un atacante remoto no autenticado podría atraer a un usuario autenticado a usar un enlace debidamente modificado o instalar ficheros maliciosos en los servidores FTP y HTTP del dispositivo que los administradores podrían usar. |
|
Solución |
|
|
Cisco ha publicado actualizaciones de software gratuitas para tratar la vulnerabilidad descrita en el aviso. Los clientes deben obtener el software actualizado a través de sus canales regulares de actualización. Actualización de software: http://www.cisco.com |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | CVE-2012-0363, CVE-2012-0364, CVE-2012-0365 |
| BID | |
Recursos adicionales |
|
|
CISCO Security Advisory cisco-sa-20120223-srp500 http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120223-srp500 |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2012-02-25 |