Notificación de vulnerabilidad en Cisco IOS, IOS XE y IOS XR CVE-2018-0167 CVE-2018-0175

Atencion alerta vulnerabilidad

Un atacante adyacente no autenticado podría provocar una condición de denegación de servicio (DoS) o ejecutar código arbitrario con privilegios en un dispositivo afectado

Málaga 10 de enero de 2023

CVE-2018-0167

CVE-2018-0175

Múltiples vulnerabilidades en el subsistema Link Layer Discovery Protocol (LLDP) del software Cisco IOS, el software Cisco IOS XE y el software Cisco IOS XR podrían permitir que un atacante adyacente no autenticado provoque una condición de denegación de servicio (DoS) o ejecute código arbitrario con privilegios en un dispositivo afectado.

Estas vulnerabilidades afectan a los dispositivos Cisco que ejecutan una versión vulnerable del software Cisco IOS, el software Cisco IOS XE o el software Cisco IOS XR y están configurados para usar LLDP. El estado predeterminado de la función LLDP depende de la plataforma y la versión.

Una vulnerabilidad en el subsistema LLDP del software Cisco IOS, el software Cisco IOS XE y el software Cisco IOS XR podría permitir que un atacante adyacente no autenticado provoque una condición DoS o ejecute código arbitrario con privilegios elevados.

La vulnerabilidad se debe al manejo inadecuado de errores de mensajes LLDP con formato incorrecto. Un atacante que esté conectado directamente a una interfaz de un dispositivo afectado podría aprovechar esta vulnerabilidad al enviar una unidad de datos de protocolo (PDU) LLDP diseñada para desencadenar el problema.

Si tiene éxito, puede ocurrir una condición de desbordamiento de búfer explotable que podría resultar en una condición DoS o que el atacante obtenga la capacidad de ejecutar código arbitrario con privilegios elevados.

Cisco Security Advisories

Para obtener más información sobre estas vulnerabilidades, consulte la sección Detalles de este aviso:

Software Link Layer Discovery Protocol Buffer Overflow Vulnerabilities



 vulnerabilidad crítica RCE CVE-2022-43931 que afecta a los servidores VPN Plus
Synology lanza un parche para la vulnerabilidad crítica RCE CVE-2022-43931 que afecta a los servidores VPN Plus