Cisco publica vulnerabilidades que afectan a software CSPC

18 Noviembre 2021
Medio

Cisco ha publicado tres avisos de seguridad clasificadas como severidad media las que abordan distintas vulnerabilidades que afectan a Cisco Common Service Platform Collector (CSPC), una herramienta basada en SNMP que descubre y recopila información de los dispositivos Cisco instalados en su red. 

CVE-2021-40131 [Cvss: 5.5]
Vulnerabilidad de secuencias de comandos entre sitios almacenadas en el recopilador de la plataforma de servicios comunes de Cisco.

Una vulnerabilidad en la interfaz de administración basada en web de Cisco Common Services Platform Collector (CSPC) podría permitir que un atacante remoto autenticado lleve a cabo un ataque de cross-site scripting (XSS) contra un usuario de la interfaz.

Esta vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario que es procesada por la interfaz de administración basada en web.

Productos afectados

  • Cisco Common Services Platform Collector (CSPC) Anterior a 2.9.0.2

CVE-2021-40129 [Cvss: 4.9]
Vulnerabilidad de inyección SQL del recopilador de plataforma de servicios comunes de Cisco.

Una vulnerabilidad en el panel de configuración de Cisco Common Services Platform Collector (CSPC) podría permitir que un atacante remoto autenticado envíe una consulta SQL a través del panel de configuración de CSPC.

Esta vulnerabilidad se debe a una validación de entrada insuficiente de los archivos cargados.

Productos afectados

  • Cisco Common Services Platform Collector (CSPC) Anterior a 2.9.0.2

CVE-2021-40130 [Cvss: 4.9]
Vulnerabilidad de restricción de registro incorrecta del recopilador de plataforma de servicios comunes de Cisco.

Una vulnerabilidad en la aplicación web de Cisco Common Services Platform Collector (CSPC) podría permitir a un atacante remoto autenticado especificar archivos que no son de registro como fuentes para los informes de syslog.

Esta vulnerabilidad se debe a una restricción inadecuada de la configuración de syslog.

Productos afectados

  • Cisco Common Services Platform Collector (CSPC) Anterior a 2.9.0.2

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #Cisco #Parche #Vulnerabilidades #CSPC #CVE-2021-40131 #CVE-2021-40129 #CVE-2021-40130
  • Productos Afectados
  • Producto Versión
    Cisco CSPC Anterior a 2.9.0.2


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.