sábado, 27 de febrero de 2016

Inyección de comandos en Cisco ACE 4710 Application Control Engine

Cisco ha anunciado la existencia de una vulnerabilidad crítica en los dispositivos Cisco ACE (Application Control Engine) 4710 que podría permitir a un atacante remoto sin autenticar tomar el control de los dispositivos afectados.

La familia de productos Cisco ACE (Application Control Engine) permite realizar una inteligente (de nivel 4 y 7) de los servicios por múltiples dispositivos virtuales, con el objeto de aumentar el rendimiento y conseguir la máxima disponibilidad. También incluye protección contra amenazas y ataques a través de funcionalidades como inspección de paquetes y seguridad a nivel de red y protocolo.

La interfaz gráfica del administrador de los dispositivos Cisco ACE 4710 podría permitir a un atacante remoto sin autenticar ejecutar cualquier comando de la interfaz de línea de comandos (CLI) con privilegios de administrador. La vulnerabilidad reside en una validación insuficiente de las entradas del usuario. Un atacante podría construir una petición http post con comandos inyectados en un parámetro.

Cisco ha publicado actualizaciones para todas estas versiones afectadas.

Más información:

Cisco ACE 4710 Application Control Engine Command Injection Vulnerability


Antonio Ropero

Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada