Aviso de seguridad
Nivel de peligrosidad: Alto
Descripción
Las vulnerabilidades registradas como CVE-2022-20857, CVE-2022-20858 y CVE-2022-20861, que afectan a Cisco Nexus Dashboard para centros de datos e infraestructuras de red en la nube, podrían permitir que un atacante remoto no autenticado ejecute comandos arbitrarios, leer o cargar archivos de imagen de contenedor o realizar un ataque de falsificación de solicitud entre sitios.
- CVE-2022-20857: Vulnerabilidad de ejecución de comandos arbitrarios en Cisco Nexus Dashboard.
- CVE-2022-20858: Vulnerabilidad de lectura y escritura de la imagen del contenedor del panel Cisco Nexus.
- CVE-2022-20861: Vulnerabilidad de falsificación de solicitud en sitios cruzados CSRF en Cisco Nexus Dashboard.
Las tres vulnerabilidades afectan a Cisco Nexus Dashboard 1.1 y posteriores, con correcciones disponibles en la versión 2.2(1e).
Otra falla de alta gravedad se relaciona con una vulnerabilidad en la implementación SSL/TLS de Cisco Nexus Dashboard (CVE-2022-20860) que podría permitir que un atacante remoto no autenticado altere las comunicaciones con los controladores asociados o vea información confidencial.
También, se resolvió 35 vulnerabilidades en sus enrutadores RV110W, RV130, RV130W y RV215W para pequeñas empresas que podrían permitir a un adversario que ya posee credenciales de administrador válidas, ejecutar código arbitrario o causar una condición de denegación de servicio (DoS), enviando una solicitud especialmente diseñada a la interfaz de administración basada en web.
Para completar los parches, solucionaron una vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en la interfaz de administración basada en la web de Cisco IoT Control Center que, si se arma con éxito, podría permitir que un atacante remoto no autenticado realice un ataque XSS contra un usuario.
Recursos afectados
- Cisco Nexux Dashboard
- Enrutadores RV110W, RV130, RV130W y RV215W
- Cisco Iot Control Center
Solución
Actualizar los productos afectados de manera automática o consultando con su proveedor.
Referencias
Cisco soluciona vulnerabilidades críticas