Alertas de seguridad

Vulnerabilidad en Cisco Connected Mobile Experiences (CMX)

Una vulnerabilidad en Cisco Connected Mobile Experiences (CMX) podría permitir que un atacante autenticado y remoto sin privilegios administrativos altere la contraseña de cualquier usuario en un sistema afectado.

Vulnerabilidad en Cisco Connected Mobile Experiences (CMX)_Mesa de trabajo 1

La vulnerabilidad se debe al manejo incorrecto de las verificaciones de autorización para cambiar una contraseña. Un atacante autenticado sin privilegios administrativos podría aprovechar esta vulnerabilidad enviando una solicitud HTTP modificada a un dispositivo afectado. Un exploit exitoso podría permitir al atacante alterar las contraseñas de cualquier usuario del sistema, incluido un usuario administrativo, y luego hacerse pasar por ese usuario.

Cisco ha publicado actualizaciones de software que abordan esta vulnerabilidad. No existen soluciones alternativas que aborden esta vulnerabilidad.

La vulnerabilidad viene identificada con el CVE-2021-1144.

VERSIONES AFECTADAS

Las siguientes versiones se ven afectadas:

  • Cisco CMX versiones 10.6.0, 10.6.1 y 10.6.2

ACCIONES RECOMENDADAS

Cisco ha publicado actualizaciones de software gratuitas que abordan esta vulnerabilidad. Los clientes solo pueden instalar y esperar soporte para versiones de software y conjuntos de funciones para los que hayan comprado una licencia.

Además, los clientes solo pueden descargar software para el que tengan una licencia válida, adquirido directamente de Cisco o a través de un distribuidor o socio autorizado de Cisco.

Puede obtener las actualizaciones necesarias por medio del siguiente enlace:

https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html

DETALLES DE PUNTUACIÓN DE LA VULNERABILIDAD

La clasificación de vulnerabilidad se realizó utilizando el sistema de puntuación CVSSv3 (http://www.first.org/cvss/specification-document).

Puntaje base: 7.8 (CRITICA) CVSS:3.1/ AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H