¿En qué consiste?
El caso CVE-2019-1917 relaciona la vulnerabilidad en la interfaz API REST de Cisco Vision Dynamic Signage Director podría permitir que un atacante remoto no autenticado omita la autenticación en un sistema afectado.
- Permite la divulgación no autorizada de información.
- Permite la modificación no autorizada.
- Permite la interrupción del servicio.
Esta vulnerabilidad se ocasiona debido a una validación insuficiente de las solicitudes HTTP. El atacante aprovecha esta vulnerabilidad enviando una solicitud HTTP diseñada a un sistema afectado, de realizarse una explotación exitosa se permitiría al atacante ejecutar acciones ilegales a través de la API REST con privilegios administrativos en dicho sistema afectado.
La API REST es un sistema utilizado como protocolo de intercambio y manipulación de datos en los servicios de Internet. REST es una interfaz entre sistemas que use HTTP para obtener datos o generar operaciones sobre dichos datos en todos los formatos posibles.
Productos afectados:
Esta vulnerabilidad afecta a Cisco Vision Dynamic Signage Director que ejecuta una versión de software vulnerable.
Acciones recomendadas:
Cisco ha sacado actualizaciones de software gratuitas que abordan la vulnerabilidad descrita en este aviso. Los clientes solo pueden instalar y esperar soporte para versiones de software y conjuntos de características para los que han comprado una licencia. Al instalar, descargar, acceder o utilizar dichas actualizaciones de software, los clientes aceptan seguir los términos de la licencia de software de Cisco: https://www.cisco.com/c/en/us/products/end-user-license- acuerdo.html
Versiones actualizadas para esta vulnerabilidad:
Lanzamiento del software |
Primer lanzamiento fijo |
Antes de 5.0 |
Migrar a 5.0sp9 |
5.0 |
5.0sp9 |
6.0 |
Migrar a 6.1sp3 |
6.1 |
6.1sp3 |
6.2 |
No vulnerable |