Múltiples vulnerabilidades en productos Cisco

Cisco NX-OS Software Release 7.2(1)D(1), 7.2(2)D1(1) y 7.2(2)D1(2) con Pong y FabricPath activadas y el FabricPath port monitorizado activamente a través de una sesión SPAN, afecta a los siguientes productos:

  • Cisco Nexus 7000 Series Switches.
  • Cisco Nexus 7700 Series Switches.

Cisco Email Security Appliance (ESA) y Content Security Management Appliance (SMA), afecta a:

  • Todas las versiones de software desde la primera versión del software Cisco AsyncOS para ESA y Content SMA, tanto para dispositivos hardware como virtuales.

Cisco Unified Customer Voice Portal (CVP), afecta a:

  •   Todo Cisco Unified CVP que ejecute una versión de software anterior a la 11.6.

Se han identificado múltiples vulnerabilidades de severidad alta en productos Cisco.

Para Cisco NX-OS Software y Cisco Unified Customer Voice Portal (CVP):

Para Cisco Email Security Appliance (ESA) y Content Security Management Appliance (SMA):

  • Actualizar ESA y SMA desde Cisco AsyncOS System Administration GUI.

Los detalles de las tres vulnerabilidades son los siguientes:

  • La herramienta de Pong en el software de Cisco NX-OS presenta una vulnerabilidad que permitiría que un atacante sin autentificación pudiera realizar un ataque de denegación de servicio en el dispositivo afectado.
  • Una vulnerabilidad debida a una confiuración de red incorrecta en la CLI del shell administrativo de Cisco Email Security Appliance (ESA) y Content Security Management Appliance (SMA), podría permitir a un atacante local con credenciales de usuario, escalar su nivel de privilegios y ejecutar código en el shell de administración, pudiendo obtener acceso como root.
  • Un ataquente podría aprovechar una vulnerabilidad en el servidor de aplicaciones de Cisco Unified Customer Voice Portal (CVP) para llevar acabo un ataque de denegación de servicio, afectando a la disponibilidad del mismo y a los datos en el dispositivo. Esta vulnerabilidad se debe a tráfico SIP INVITE mal formado durante las comunicaciones con el navegador de voz virtualizado (WB).