Cisco pública 7 nuevos avisos de seguridad

16 Junio 2022
Crítico

Cisco ha publicado 7 nuevos avisos de seguridad. Dentro de ellos encontramos 7 vulnerabilidades, que se clasifican como: 2 de Severidad Crítica, 1 de Severidad Alta  y 4 de Severidad Media. 

Las vulnerabilidades publicadas afectan a productos como:

  • Cisco AsyncOS
  • Cisco Small Business RV Series Routers
  • Cisco ISE
  • Cisco IP Phones

 

CVE-2022-20798 [ CVSS: 9.8]
Cisco Email Security Appliance and Cisco Secure Email and Web Manager External Authentication Bypass Vulnerability 

Una vulnerabilidad podría permitir que un atacante remoto no autenticado omita la autenticación e inicie sesión en la interfaz web de gestión de un dispositivo afectado.

Esto debido a comprobaciones de autenticación incorrectas cuando un dispositivo afectado utiliza el Lightweight Directory Access Protocol (LDAP) para la autenticación externa.

 

CVE-2022-20825 [CVSS: 9.8]
Cisco Small Business RV110W, RV130, RV130W, and RV215W Routers Remote Command Execution and Denial of Service Vulnerability

Podría permitir que un atacante remoto no autenticado ejecute código arbitrario o que un dispositivo afectado se reinicie inesperadamente, lo que resultaría en una denegación de servicio (DoS). 

Esto debido a una validación de entrada de usuario insuficiente de los paquetes HTTP entrantes.

NOTA: No hay actualizaciones de seguridad que aborden esta vulnerabilidad.

 

CVE-2022-20664 [CVSS: 7.7]
Cisco Email Security Appliance and Cisco Secure Email and Web Manager Information Disclosure Vulnerability

Podría permitir que un atacante remoto autenticado recupere información confidencial del Lightweight Directory Access Protocol ( LDAP) desde el servidor de autenticación externo conectado a un dispositivo afectado.

Esto debido a la falta de limpieza de la entrada adecuada al consultar el servidor de autenticación externo. Un atacante podría aprovechar esta vulnerabilidad enviando una consulta manipulada a través de una página web de autenticación externa.

 

  • CVE-2022-20817 [CVSS: 7.4]
    Cisco IP Phone Duplicate Key Vulnerability
    NOTA: Esta vulnerabilidad no se puede solucionar con actualizaciones de software. Existe una solución alternativa que aborda esta vulnerabilidad.

 

  • CVE-2022-20819 [CVSS: 6.5]
    Cisco Identity Services Engine Sensitive Information Disclosure Vulnerability

 

  • CVE-2022-20736 [CVSS: 5.3]
    Cisco AppDynamics Controller Authorization Bypass Vulnerability

 

  • CVE-2022-20733 [CVSS: 5.3]
    Cisco Identity Services Engine Authentication Bypass Vulnerability

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante  disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #Routers Cisco #Cisco #Parche #Cisco AsyncOS #Cisco Small Business RV Series Routers #Cisco ISE #Cisco IP Phones
  • Productos Afectados
  • Producto Versión
    Cisco AsyncOS anteriores a 14.1.0-250
    AppDynamics Controller anteriores a 21.4.7
    Cisco Small Business RV Series Routers RV110W Wireless-N VPN Firewall
    RV130 VPN Router
    RV130W Wireless-N Multifunction VPN Router
    RV215W Wireless-N VPN Router
    Cisco ISE anteriores a 2.4.0.357P11
    2.6 anteriores a 2.6.0.156P5
    2.7 anteriores a 2.7.0.305
    3.1 anteriores a 3.1 patch 3
    Cisco IP Phones ATA 187 Analog Telephone Adapter
    Unified IP Phone 6911
    Unified IP Phone 6921
    Unified IP Phone 6941
    Unified IP Phone 6945
    Unified IP Phone 6961
    Unified IP Phone 8941
    Unified IP Phone 8945
    Unified IP Phone 8961
    Unified IP Phone 9951
    Unified IP Phone 9971


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.