Se ha detectado una vulnerabilidad que permite a un usuario local autenticado la ejecución de flujos de trabajo arbitrario unicamente con un perfil de usuario final, catalogada de Importancia: 5  – Crítica

Recursos afectados:

  • Versiones 6.0.0.0 y 6.0.0.1 del Cisco UCS

Detalle e impacto de la vulnerabilidad:

  • La gestión inadecuada del acceso basado en roles una vez que se habilita el menú de desarrollador podría permitir a un atacante habilitar, a través de su usuario, dicho menú. Con esto el usuario puede  añadir nuevos catálogos con items de flujo de trabajo arbitrario arbitrarios a su perfil, lo que le permitiría generar flujos con acciones que afecten otros usuarios.

Recomendación

  • Cisco ha publicado una la versión de UCS Director 6.0.1.0, que corrige esta vulnerabilidad.

Más información

Fuente: Hispasec

Anuncios