0
0
Rastreado como CVE-2022-20695 (pontuação CVSS de 10), o buraco de segurança existe porque o algoritmo de validação de senha não foi implementado corretamente.
Assim, um invasor poderia usar credenciais criadas para contornar a autenticação e entrar em um dispositivo vulnerável como administrador.
“Essa vulnerabilidade existe devido a uma configuração de dispositivo não padrão que deve estar presente para que ele seja explorável”, diz a Cisco.
O problema foi identificado nas versões de software 8.10.151.0 e 8.10.162.0, e impacta os seguintes dispositivos (se tiverem compatibilidade de raio macfilter configurada como Outros): controladores sem fio 3504, 5520 e 8540, Mobility Express e Virtual Wireless Controller (vWLC).
Sem soluções alternativas disponíveis para a vulnerabilidade, os clientes impactados são aconselhados a atualizar para a versão de software WLC 8.10.171.0 ou posterior.
Esta semana, a empresa também anunciou patches para mais de uma dúzia de vulnerabilidades de alta gravidade que afetam o software Cisco SD-WAN e Cisco IOS.
A exploração bem-sucedida desses bugs poderia permitir que os invasores aumentassem privilégios em um dispositivo vulnerável ou causassem uma condição de negação de serviço (DoS).
A Cisco lançou atualizações de software para todas essas vulnerabilidades e diz que não há soluções alternativas disponíveis para elas.
A gigante da tecnologia também observa que não está ciente de nenhum desses defeitos de segurança sendo explorados na natureza.
A Cisco também está lutando para lidar com a vulnerabilidade Spring4Shell (CVE-2022-22965) em seu portfólio. Na quarta-feira, a empresa atualizou seu aviso sobre essa falha para atualizar a lista de produtos sob investigação, bem como a lista de produtos impactados.
No momento, a Cisco está mirando na próxima semana o lançamento dos primeiros patches Spring4Shell. Alguns produtos, no entanto, não receberão correções até o verão.
FONTE: SECURITY WEEK