Cisco ha publicado un aviso de seguridad en el que informa de la existencia de múltiples vulnerabilidades en Cisco Video Surveillance Manager anteriores a 7.0.0 que podrían permitir a un atacante remoto tomar el control de los sistemas afectados.
Cisco Video Surveillance Manager (VSM) permite a gerentes de operaciones e integradores de sistemas montar una red de videovigilancia totalmente personalizada. Proporciona configuración centralizada, gestión, visualización y control de cámaras de vídeo.
Las vulnerabilidades se detallan a continuación:
CVE-2013-3429: Revelación de información sensible a través de una escalada de directorios al no controlar debidamente las entradas de usuario en ciertas páginas.
CVE-2013-3430 y CVE-2013-3431: No se requiere de autenticación para acceder a páginas «sensibles» como configuración, logs del sistema, historiales de monitorización… lo que puede permitir crear, modificar y eliminar cámaras, historiales, logs y usuarios de forma remota y sin necesidad de estar autenticado.
Dichos fallos se han corregido en las versiones Cisco VSM 7.0 y Cisco VSM 7.0.1, ambas disponibles para su descarga en los canales oficiales de Cisco.
Más información:
Multiple Vulnerabilities in the Cisco Video Surveillance Manager
Fernando Castillo
