[TLP:CLEAR] Cisco opravuje 15 zraniteľností v rôznych produktoch

Cisco v produktoch IOS, IOS XE, Catalyst Center a Access Point opravuje 15 zraniteľností. Oprava pre Catalyst Center sa nachádza vo verzii 2.3.5.4 [9] a opravené verzie pre všetky typy postihnutého hárdvéru Access Point je možné nájsť na [7][2]. Zvyšné opravené verzie je možné získať na [10], kde je na prvej stránke potrebné zadať typ a verziu vášho produktu. Na ďalšej stránke je potrebné zvoliť všetky hodnotenia dopadu a všetky bezpečnostné odporúčania. Na poslednej stránke je potrebné vybrať najvyššiu zo zobrazených opravených verzií a vaše postihnuté zariadenie na ňu aktualizovať. Najzávažnejšie zraniteľnosti:

Cisco IOS XE - RCE (CVE-2024-20306) CVSS 6.0 (Medium)

Autentizovanému lokálnemu útočníkovi s právami úrovne 15 je v IOS XE umožnené neoprávnene spúšťať príkazy s právami root [1].

CVSS: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N

Viac informácií:

Zraniteľnosť bola verejne oznámená 27. 3. 2024.

Cisco Access Point - DoS (CVE-2024-20354) CVSS 4.7 (Medium)

Neauntentizovanému lokálnemu útočníkovi je v Access Point umožnené spôsobiť DoS útok [2].

CVSS: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:L

Viac informácií:

Zraniteľnosť bola verejne oznámená 27. 3. 2024.

Cisco IOS XE - unauthorized access CVSS 5.8 (Medium)

Neautentizovanému vzdialenému útočníkovi je v IOS a IOS XE umožnené neoprávnene pristupovať k chráneným zdrojom [3].

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N

Viac informácií:

Zraniteľnosť bola verejne oznámená 27. 4. 2024.

Cisco IOS a IOS XE - DoS (CVE-2024-20312) CVSS 7.4 (High)

Neautentizovanému vzdialenému útočníkovi je v IOS a IOS XE umožnené vykonať DoS útok [4].

CVSS: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 27. 3. 2024.

Cisco IOS a IOS XE - DoS CVSS 7.4 (High)

Neauntentizovanému lokálnemu útočníkovi je v IOS a IOS XE umožnené vykonať DoS útok [5][6].

CVSS: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 27. 3. 2024.

Cisco Access Point - security check bypass (CVE-2024-20265) CVSS 5.9 (Medium)

Neautentizovanému fyzickému útočníkovi je v Access Point umožnené obísť bezpečnostné kontroly a nahrať do postihnutého zariadenia potencionálne nebezpečný softvér [7].

CVSS: CVSS:3.1/AV:P/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Viac informácií:

Zraniteľnosť bola verejne oznámená 27. 4. 2024.

Cisco IOS XE - privileges escalation (CVE-2024-20278) CVSS 6.5 (Medium)

Autentizovanému vzdialenému útočníkovi s administrátorskými právami je v IOS XE umožnené zvýšiť svoje práva na práva root [8].

CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N

Viac informácií:

Zraniteľnosť bola verejne oznámená 27. 4. 2024.

CIsco Catalyst Center - unauthorized modification (CVE-2024-20333) CVSS 4.3 (Medium)

Autentizovanému vzdialenému útočníkovi je v Catalyst Center umožnené neoprávnene meniť určité dáta vrámci webového rozhrania [9].

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

Viac informácií:

Zraniteľnosť bola verejne oznámená 27. 3. 2024.

Cisco IOS a IOS XE - DoS CVSS 8.6 (High)

Neautentizovanému vzdialenému útočníkovi je v IOS a IOS XE umožnené spôsobiť DoS útok [11][12][13].

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 27. 3. 2024.


Publikoval Martin Krajči dňa 4. 4. 2024.

CESNET CERTS Logo