Actualizaciones para múltiples dispositivos Cisco

Solo uno de los problemas es considerado crítico y afecta a Cisco Meeting Server, mientras que otros problemas de gravedad media afectan a Cisco Wide Area Application Services, Cisco Unified Communications Manager, Cisco Prime Infrastructure, Evolved Programmable Network Manager, Cisco Finesse y Cisco cBR-8 Converged Broadband Router.

El problema más grave, con CVE-2016-6445, afecta al servicio Extensible Messaging and Presence Protocol (XMPP) de Cisco Meeting Server (CMS) y podría permitir a un atacante remoto sin autenticar acceder al sistema como un usuario legítimo.

Se ven afectadas las versiones de Cisco Meeting Server anteriores a la 2.0.6 con XMPP activo. También afecta a Acano Server anteriores a 1.8.18 y anteriores a 1.9.6 con XMPP activo.

Cisco ha publicado las siguientes versiones actualizadas para los sistemas afectados:

Una vulnerabilidad (CVE-2016-6437) en la administración de la caché de sesión SSL de los Cisco Wide Area Application Services (WAAS) podría permitir a un atacante remoto sin autenticar provocar una condición de denegación de servicio (DoS) por un elevado consumo del disco duro.

Un problema, con CVE-2016-6440, de falsificación de datos en un iframe de una página web afecta a Cisco Unified Communications Manager (CUCM). Por otra parte, existe una vulnerabilidad (con CVE-2016-6443) de inyección SQL en Cisco Prime Infrastructure y en Evolved Programmable Network Manager SQL.

También se ha confirmado una vulnerabilidad (con CVE-2016-6438) en el software Cisco IOS XE en routers Cisco cBR-8 Converged Broadband podría permitir a un atacante remote sin autenticar provocar un cambio en la integridad de la configuración en el dispositivo afectado.

Por último, una vulnerabilidad de cross-site request forgery (CSRF) contra la interfaz web de Cisco Finesse (CVE-2016-6442). Este es el único problema para el que no se han publicado actualizaciones.

Antonio Ropero

Twitter: @aropero