Cisco lanzó la semana pasada un nuevo parche de seguridad
que soluciona varias vulnerabilidades críticas que estaban afectando a varios
de sus productos, los switches de las familias Cisco Nexus 3000 y Cisco Nexus
9000, y el motor de servicios Cisco Application Services Engine. De estas
vulnerabilidades ha habido varías que han sido con puntuaje muy elevado,
llegando a una puntuación de 10 y 9.8 sobre 10 en CVSS.
Las vulnerabilidades más críticas son las siguientes:
·
CVE-2021-1388: Está vulnerabilidad ha sido clasificada
con una puntuación de 10 en CVSS, y permite utilizar una petición muy
especifica a la AIP de los productos ACI MSO para poder realizar un bypass al
sistema de autenticación sin la necesidad de estar autenticado.
·
CVE-2021-1361: Está vulnerabilidad permite a un
atacante modificar, crear e incluso eliminar ficheros con privilegio de administración
(root), esto permitiría al atacante además de modificar ficheros root, la
creación sin autorización de usuarios por parte del administrador legítimo. La
puntuación de esta vulnerabilidad es de 9.8 CVSS.
·
CVE-2021-1393 / CVE-2021-1396: Estas
vulnerabilidades permite a un atacante evitar el sistema de control de acceso
de los servicios con necesidad de privilegios sobre la API. La puntuación
atribuida a esta vulnerabilidad ha sido de 9.8 CVSS.
Además de las vulnerabilidades mencionadas las cuales ya
está solucionadas en el parche, este parche soluciona otras vulnerabilidades
que afectar a una variedad de productos de la compañía.