Crítica 

Recursos afectados
- Industrial Network Director (IND)
- Modeling Labs, versiones
- StarOS Software
- BroadWorks Network Server
Descripción
Cisco ha publicado 4 avisos de seguridad que recogen 5 vulnerabilidades:
- 2 de severidad crítica
- 2 altas
- 1 media
La explotación de estas vulnerabilidades podría permitir a un atacante ejecutar comandos arbitrarios, visualizar información sensible, escalar privilegios e interrumpir el normal funcionamiento del producto afectado.
Solución
Consultar la sección Fixed Releases de cada aviso para identificar y aplicar las actualizaciones requeridas desde Security Software Updates.
Detalle
Las vulnerabilidades críticas se describen a continuación:
- Una vulnerabilidad en la interfaz web de usuario de Cisco IND podría permitir a un atacante remoto, autenticado, ejecutar comandos arbitrarios con privilegios administrativos en el sistema operativo subyacente de un dispositivo afectado, debido a una validación de entrada incorrecta al cargar un Device Pack. Se ha asignado el identificador CVE-2023-20036 para esta vulnerabilidad.
- Una vulnerabilidad en el mecanismo de autenticación externa de Cisco Modeling Labs podría permitir a un atacante remoto, no autenticado, acceder a la interfaz web con privilegios administrativos, debido al tratamiento incorrecto de determinados mensajes devueltos por el servidor de autenticación externo asociado. Se ha asignado el identificador CVE-2023-20154 para esta vulnerabilidad.
Para el resto de vulnerabilidades no críticas se han asignado los identificadores CVE-2023-20046, CVE-2023-20125 y CVE-2023-20039.