Cisco lanzó este miércoles varios parches de seguridad para corregir varias vulnerabilidades de los cuales una está calificada como nivel crítico y podría ser utilizado para llevar a cabo ataques de «path trasversal».
La vulnerabilidad clasificada como (CVE-2022-20812 y CVE-2022-20813) han sido consideradas por Cisco de nivel crítico en la escala CVSS. Dichas vulnerabilidades afectan a la serie Expressway de Cisco y al servidor de comunicación de vídeo TelePresence (VCS) de Cisco. Un atacante podría sobrescribir archivos arbitrarios o realizar ataques de envenenamiento de bytes nulos en un dispositivo afectado.
Productos Afectados
La empresa Cisco ha publicado recientemente un aviso de seguridad sobre sus productos afectados:
| Productos afectados – Vulneravilidades | Riesgo | CVE |
|---|---|---|
| Cisco Expressway Series y Cisco TelePresence Video Communication Server – Escritura de ficheros arbitrarios y envenenamiento de bytes nulos | Crtítico | CVE-2022-20812 CVE-2022-20813 |
| Cisco Smart Software Manager On-Prem – Denegación de Servicio (DoS) | Alto | CVE-2022-20808 |
| Cisco Unified Communications – Ataque por Tiempo | Medio | CVE-2022-20752 |
| Cisco Unified Communications Manager – Lectura de ficheros arbitrarios | Medio | CVE-2022-20862 |
| Cisco Unified Communications Products – Controles de Acceso insuficientes | Medio | CVE-2022-20859 |
| Cisco TelePresence Collaboration Endpoint and RoomOS Software – Divulgación de información | Medio | CVE-2022-20768 |
| Cisco Unified Communications Products – Cross-Site Scripting (XSS) | Medio | CVE-2022-20815 |
| Cisco Unified Communications Products – Cross-Site Scripting (XSS) | Medio | CVE-2022-20800 |
| Cisco Unified Communications Products – Lectura de ficheros arbitrarios | Medio | CVE-2022-20791 |
Solución
Cisco recomienda actualizar y parchear los productos afectados, para ello ha publicado actualizaciones de software, que solucionan las vulnerabilidades descritas y pueden ser descargadas desde el Centro de Software.
