Todos los problemas están considerados de gravedad media y afectan a:

Una vulnerabilidad, con CVE-2016-9212, en el parámetro de configuración "Decrypt for End-User Notification" del software Cisco AsyncOS de los dispositivos Cisco Web Security Appliances podría permitir a un atacante remote sin autenticar conectar a un sitio web seguro sobre SSL (Secure Sockets Layer) o TLS (Transport Layer Security), incluso si el WSA está configurado para bloquear conexiones al sitio web. Otra vulnerabilidad, con CVE-2016-6469, en el tratamiento de URLs podría permitir a atacantes remotos provocar condiciones de denegación de servicio.

Una vulnerabilidad, con CVE-2016-6471, en la interfaz de administración web de Cisco Firepower Management Center con software FireSIGHT System podría permitir a un atacante remote autenticado visualizar la contraseña de almacenamiento remoto (Remote Storage).

Un fallo en la detección de archivos maliciosos y en las funciones de bloqueo de Cisco Firepower Management Center y del software Cisco FireSIGHT System podría permitir a atacantes evitar los mecanismos de detección de malware de los sistemas afectados (CVE-2016-9193).

Otra vulnerabilidad, con CVE-2016-9209, en el tratamiento TCP del software Cisco FirePOWER podría permitir a atacantes remotos sin autenticar descargar archivos que habitualmente estarían bloqueados.

Una vulnerabilidad, con CVE-2016-6464, en la interfaz de administración web de Cisco Unified Communications Manager IM and Presence Service podría permitir a atacantes remotes sin autenticar visualizar información de páginas web que debería estar restringida.

Dos vulnerabilidades de cross-site scripting en múltiples parámetros de la página ccmivr y en la página ccmadmin de Cisco Unified Communication Manager (CVE-2016-6472y CVE-2016-9206).

Una vulnerabilidad, con CVE-2016-9210, al acceder a la herramienta de subida de archivos de Cisco Unified Reporting a través de Cisco Unified Communications Manager podría permitir a atacantes remotos sin autenticar modificar archivos del sistema afectado.

Una vulnerabilidad de cross-site scripting (CVE-2016-9214) en Cisco Identity Services Engine (ISE) y una vulnerabilidad de denegación de servicio en el componente de intergración de Directorio Activo de Cisco Identity Services Engine (CVE-2016-9198).

Una vez más, una contraseña estática defecto en dispositivos Cisco. Esta vez dispositivos con software Cisco IOS XR incluyen una cuenta con privilegios de usuario root (CVE-2016-9215). Otra vulnerabilidad, con CVE-2016-9205, en el tratamiento de HTTP 2.0 de Cisco IOS XR podría permitir a atacantes remotes sin autenticar provocar condiciones de denegación de servicio a través del demonio Event Management Service (emsd).

Una vulnerabilidad en la implementación de X.509 Version 3 de la autenticación SSH en Cisco IOS e IOS XE podría permitir evitar la autenticación (CVE-2016-6474). Una vulnerabilidad, con CVE-2016-9199, en el framework de alojamiento de aplicaciones del subsistema Cisco IOx de Cisco IOS e IOS XE podría permtir la lectura de archivos arbitrarios (CVE-2016-9199). También en la funcionalidad de Firewall basado en zonas de Cisco IOS y Cisco IOS XE podría permitir pasar tráfico que de otra forma sería filtrado (CVE-2016-9201). Una vulnerabilidad de denegación de servicio en Cisco IOS de Switches Catalysts y Nexus 9300 (CVE-2016-6473).

Una vulnerabilidad en la utilidad de administración de archivos, en el formulario de descargas, y la aplicación Serviceability de Cisco Emergency Responder podría permitir acceder a cualquier archivo del sistema (CVE-2016-9208). También un cross-site request forgery (CSRF) en la interfaz de administración web de Cisco Emergency Responder (CVE-2016-6468)

Una vulnerabilidad en la funcionalidad de actualización de Cisco AsyncOS Software en los Cisco Email Security Appliance (ESA), Cisco Web Security Appliance (WSA) y Cisco Content Management Security Appliance (SMA) podría permitir falsificar la actualización servidor (CVE-2016-1411).

Una vulnerabilidad, con CVE-2016-9204, en Cisco Intercloud Fabric (ICF) Director podría permitir a un atacante remoto sin autenticar conectar servicios internos con una cuenta interna.

Una vulnerabilidad de elevación de privilegios en el proceso de instalación de Cisco Hybrid Media Service (CVE-2016-6470).

Una vulnerabilidad en el componente HTTP de Cisco Expressway podría permitir a atacantes remotos sin autenticar iniciar conexiones TCP a hosts arbitrarios (CVE-2016-9207).

Una vulnerabilidadde cross-site scripting en la interfaz web de Cisco Prime Collaboration Assurance (CVE-2016-9200).

Dos vulnerabilidades de denegación de servicio en Cisco ASR 5000 (CVE-2016-9203y CVE-2016-6467).

Un cross-site scripting (XSS) persistente, con CVE-2016-9202, en la interfaz de administración web de los switches Cisco Email Security Appliance (ESA).

Denegaciones de servicio en Cisco ONS 15454 Series Multiservice Provisioning Platforms a través de la administración de puertos TCP (CVE-2016-9211) y en Cisco FireAMP Connector Endpoint (CVE-2016-6449).

Antonio Ropero

Twitter: @aropero