Alertas de seguridad

Vulnerabilidad de inyección SQL de Cisco Data Center Network Manager

Una vulnerabilidad en la interfaz de administración basada en la web de Cisco Data Center Network Manager (DCNM) podría permitir que un usuario malintencionado autenticado y remoto realice ataques de inyección SQL en un sistema afectado. 

La vulnerabilidad se debe a una validación incorrecta de los parámetros enviados por el usuario. Un atacante podría aprovechar esta vulnerabilidad autenticándose en la aplicación y enviando solicitudes maliciosas a un sistema afectado. Una explotación exitosa podría permitir al usuario malintencionado obtener y modificar información confidencial que se almacena en la base de datos subyacente.

Recursos afectados

En el momento de la publicación, esta vulnerabilidad afectaba a las versiones del software Cisco DCNM anteriores a la versión 11.4 (1).

Acciones recomendadas

Al considerar las actualizaciones de software, se aconseja a los clientes que consulten regularmente los avisos de los productos de Cisco, que están disponibles en la página de avisos de seguridad de Cisco, para determinar la exposición y una solución de actualización completa.

En todos los casos, los clientes deben asegurarse de que los dispositivos a actualizar contengan suficiente memoria y confirmar que las configuraciones actuales de hardware y software continuarán siendo compatibles con la nueva versión. Si la información no es clara, se aconseja a los clientes que se comuniquen con el Centro de asistencia técnica de Cisco (TAC) o con sus proveedores de mantenimiento contratados.