Cisco ha confirmado una vulnerabilidad en el entorno web de Cisco Unified Computing System (UCS) Performance Manager que podría permitir a un atacante remoto sin autenticar ejecutar comandos arbitrarios en los sistemas afectados. 

La solución Unified Communications de Cisco es un conjunto de productos y aplicaciones de comunicaciones que reúne e integra voz, vídeo y datos. Cisco Unified Computing System es una nueva plataforma de data center que unifica cómputo, redes, acceso a almacenamiento y virtualización en un sistema unificado.

El problema, con CVE-2016-1374, se debe a la insuficiente validación de las entradas de los parámetros pasados a través de una petición HTTP GET. Un atacante podría explotar esta vulnerabilidad mediante el envío al sistema afectado de peticiones HTTP GET específicamente construidas, lo que le permitiría ejecutar comandos arbitrarios con privilegios de usuario root.

Se ven afectados los sistemas Cisco UCS Performance Manager versiones 2.0.0 y anteriores. Cisco ha publicado la versión 2.0.1 para solucionar esta vulnerabilidad.

Antonio Ropero

Twitter: @aropero