Cisco publica actualizaciones para múltiples vulnerabilidades

18 Febrero 2021
Alto

Cisco ha publicado actualizaciones de seguridad para múltiples vulnerabilidades que afectan a productos como Cisco AnyConnect, Cisco ISE, Cisco Webex Meetings entre otros. De las actualizaciones difundidas hay 1 aviso de seguridad de severidad alta y 4 avisos de severidad media.

Severidad Alta

CVE-2021-1366 vulnerabilidad de DLL Hijacking en Cisco AnyConnect Secure Mobility para Windows con módulo VPN Posture (HostScan)

Una vulnerabilidad en el canal de interprocess communication (IPC) de Cisco AnyConnect Secure Mobility Client para Windows podría permitir que un atacante local autenticado realice un ataque de DLL hijacking en un dispositivo afectado si el módulo VPN Posture (HostScan) está instalado en el cliente AnyConnect.

Esta vulnerabilidad se debe a una validación insuficiente de los recursos que carga la aplicación en tiempo de ejecución. Para aprovechar esta vulnerabilidad, el atacante necesita credenciales válidas en el sistema Windows.

Severidad media

Vulnerabilidades de divulgación de información confidencial de Cisco Identity Services Engine 

  • CVE-2021-1412
  • CVE-2021-1416

Vulnerabilidad de secuencias de comandos entre sitios de Cisco Webex Meetings

  • CVE-2021-1351

Vulnerabilidad de divulgación de información de la aplicación de escritorio Cisco Webex Meetings y herramientas de productividad de Webex para Windows

  • CVE-2021-1372

Vulnerabilidad de denegación de servicio de Cisco StarOS

  • CVE-2021-1378

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #Cisco #Parche #Actualización #Vulnerabilidades #CVE-2021-1412 #CVE-2021-1416 #CVE-2021-1351 #CVE-2021-1372 #CVE-2021-1378 #CVE-2021-1366


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.