 |
| Fuente: ThreatPost |
"Un atacante podría aprovechar esta vulnerabilidad mediante el envío de una petición HTTP diseñada a un dispositivo afectado", dijo Cisco miércoles en un aviso. "Un exploit podría permitir al atacante ejecutar comandos arbitrarios en el sistema operativo subyacente con los privilegios del usuario root".El software UCS central falla al validar adecuadamente la entrada del usuario a través de su framework web, exponiendo la plataforma para atacar a distancia; las versiones 1.2 y anteriores se ven afectados, dijo Cisco. La compañía añadió que no tiene otras soluciones disponibles, y que no es ha encontrado que se este explotando publicamente.
Una explotación exitosa de esta vulnerabilidad podría permitir el acceso no autenticado a información sensible, permitir la ejecución de comandos arbitrarios en el sistema operativo central Cisco UCS o afectar la disponibilidad del dispositivo afectado", dijo el asesor.
Se insta a los usuarios a actualizar al software UCS Central a la versión 1.3, Cisco dijo, y agregó que se ha asignado la vulnerabilidad de su puntuación de gravedad más alto de 10.
La alerta de ayer viene un poco más de un mes después de dos conjuntos de parches publicados por el gigantes de redes.
El 23 de marzo, Cisco advirtió a los usuarios de sus teléfonos IP de la serie SPA 300 y 500 de una serie de vulnerabilidades de firmware que podría permitir a un atacante interceptar y escuchar conversaciones o hacer llamadas telefónicas.
Tres días más tarde, la compañía dio a conocer su conjunto semestral regular de parches de seguridad para el sistema operativo de red IOS. Cisco lanzó siete avisos, parcho 16 vulnerabilidades que incluyeron un número de errores de denegación de servicio y problemas de interfaz, las vulnerabilidades que se producen al router o switch colas contienen ciertos paquetes que no se eliminan de la cola.
El siguiente conjunto de parches para el IOS de Cisco está programado para septiembre.
