EspañaPaís VascoNotas de prensa 1011151

Múltiples vulnerabilidades de severidad crítica y alta en productos de Cisco

Resumen autogenerado por OpenAI

Audios generados (reproducción automática)

Los audios se reproducen de forma automática uno detrás de otro. Haz clic en el icono para descargar el audio o aumentar/disminuir la velocidad de reproducción.
Debido al tamaño del artículo, la generación del audio puede tardar unos segundos y es posible que se generen varios audios para un mismo artículo.

Se ha detectado una vulnerabilidad crítica (puntuación CVSS de 10.0) en la función de descarga de imagen de punto de acceso (AP) fuera de banda de Cisco IOS XE Software para controladores de LAN inalámbrica (WLCs). Esta vulnerabilidad permite a un atacante remoto no autenticado subir archivos arbitrarios al sistema afectado gracias a la presencia de un token JWT codificado. El atacante podría explotar la vulnerabilidad mediante solicitudes HTTPS alteradas, lo que podría permitirle llevar a cabo un recorrido de ruta y ejecutar comandos arbitrarios con privilegios de root, suponiendo un alto riesgo de seguridad. Para reducir el riesgo, es importante desactivar la función de descarga de imagen de AP fuera de banda, si no es esencial para la operación del dispositivo, ya que no esta habilitada por defecto.

Además de la vulnerabilidad crítica principal, se han identificado varias vulnerabilidades de severidad alta que afectan a dispositivos Cisco con IOS XE. Entre ellas se incluyen: CVE-2025-20140, que permite causar una denegación de servicio mediante tráfico IPv6 malicioso; CVE-2025-20186, una vulnerabilidad de inyección de comandos en la interfaz web accesible por usuarios autenticados con permisos limitados; CVE-2025-20154, relacionada con el protocolo TWAMP, que puede provocar reinicios del sistema; CVE-2025-20191, que afecta al manejo de paquetes DHCPv6 en funciones de seguridad integradas y puede ser explotada por atacantes adyacentes; y CVE-2025-20122, una escalada de privilegios en Cisco SD-WAN Manager que permite a un atacante autenticado obtener acceso root. Todas estas vulnerabilidades representan un riesgo significativo si no se aplican las actualizaciones de seguridad correspondientes.

Cisco ha emitido una alerta sobre una vulnerabilidad crítica en el software Cisco IOS XE para Controladores LAN Inalámbricos (WLCs) que podrían permitir a un atacante remoto no autenticado cargar archivos arbitrarios a un sistema afectado. Como solución al problema, Cisco ha liberado actualizaciones de software que solucionan esta vulnerabilidad. Si no es posible la actualización, una opción de mitigación es desactivar la característica de Descarga de Imagen AP Fuera de Banda. Al desactivar esta característica, la descarga de la imagen AP usará el método CAPWAP para la función de actualización de la imagen AP, y esto no afecta el estado del cliente AP. Cisco recomienda implementar esta mitigación hasta que se pueda realizar una actualización a una versión de software fija.

Para el resto de vulnerabilidades de severidad alta descritas en las últimas publicaciones de Cisco (mayo de 2025), no existen soluciones alternativas aparte de aplicar las actualizaciones de seguridad proporcionadas. No obstante, se sugieren algunas medidas específicas cuando la funcionalidad afectada no es indispensable:

Cisco recomienda a todos los clientes utilizar el Cisco Software Checker para identificar versiones afectadas y acceder a la versión corregida más adecuada para cada dispositivo.

Artículo
Fecha de publicación
flag thumbnail image
País Vasco
Administración Pública
Notas de prensa
Categoría
Acciones
Compartir
Tags
Documentos descargables
0
No hay ficheros adjuntos
Histórico de cambios
1
Artículo publicado
Detectado: 08/05/2025
© 2023 GovClipping by Ofifacil
1011151 {"title":"Múltiples vulnerabilidades de severidad crítica y alta en productos de Cisco","published_date":"2025-05-08","region":"paisvasco","region_text":"País Vasco","category":"press_release","category_text":"Notas de prensa","image":"https:\/\/govclipping.com\/webapp\/assets_v2\/images\/icons\/flags\/logo-bandera-paisvasco.png","id":"1011151"} paisvasco Agencia Vasca de Ciberseguridad (Cyberzaintza) https://govclipping.com/modules/controller/ReferencesController.php Resaltar Quitar resaltado true https://govclipping.com/modules/controller/ArticlesController.php https://govclipping.com/modules/controller/SubsidyController.php https://govclipping.com/modules/controller/UserDatasetActionsController.php https://govclipping.com/search Error "" region subsidy initiative Error Ha habido un error: {error}. Inténtalo de nuevo más tarde. Elemento guardado en la lista El elemento ha sido modificado Elemento eliminado de la lista Guardar para leer más tarde Aceptar Cancelar No se han encontrado artículos adicionales. https://govclipping.com/modules/controller/NewslettersController.php ¡Suscripción realizada! Te has suscrito correctamente a la newsletter de GovClipping. Algo salió mal No ha sido posible suscribirte a la newsletter. Vuelve a introducir tu email o inténtalo de nuevo más tarde. Error No se ha podido enviar la alerta de prueba a tu correo electrónico {email}. Inténtalo de nuevo más tarde. Alerta de prueba enviada Se ha enviado una alerta de prueba únicamente a tu email {email}. Revisa tu carpeta de Spam y añade @govclipping.com a tu lista de contactos. Enviar email de prueba Se enviará un email de prueba únicamente al correo electrónico de esta cuenta. Si no lo recibes, revisa tu carpeta de Spam. Enviar a todos los destinatarios Se enviará el correo electrónico a todos los destinatarios. Si no lo reciben, revisen su carpeta de Spam. Error No se ha podido enviar el correo electrónico a todos o algunos de los destinatarios. Inténtalo de nuevo más tarde. Correo electrónico enviado Se ha enviado el correo electrónico a todos los destinatarios. Revisen su carpeta de Spam y añadan @govclipping.com a su lista de contactos. Este contenido está disponible para usuarios premium Mejora tu cuenta a Professional para desbloquear y acceder todo el contenido premium sin restricciones. Consulta todas las ventajas de ser Professional en Planes de suscripción. Mejora tu cuenta https://govclipping.com/pricing Enlace copiado en portapapeles. Tu cuenta no está asociada a un Organización. Únete a uno o actualiza tu suscripción para crear tu propia Organización. https://govclipping.com/es/paisvasco/press_release/2025-05-08/1011151-multiples-vulnerabilidades-severidad-critica-alta-productos-cisco https://govclipping.com/signup https://govclipping.com/modules/controller/UserController.php Sector económico actualizado! El sector económico de tu perfil ha sido actualizado correctamente. Error Por algún motivo no hemos podido tramitar la petición. Vuelve a intentarlo más tarde.