Especialistas en auditorías de sistemas reportan el hallazgo de dos vulnerabilidades en Connected Mobile Experiences, una solución WiFi inteligente que utiliza la infraestructura inalámbrica de Cisco para brindar servicios de ubicación y análisis de ubicación para los dispositivos móviles de los consumidores. La explotación de estas fallas permitiría a los actores de amenazas esquivar los controles de seguridad en el sistema.
A continuación se presenta una breve reseña de las fallas reportadas, además de sus respectivas claves de identificación y puntajes según el Common Vulnerability Scoring System (CVSS).
CVE-2020-315: La vulnerabilidad existe debido a la existencia de mecanismos de seguridad insuficientes en la implementación de shell restringida en la CLI, lo que podría ser aprovechado por actores de amenazas locales para enviar comandos especialmente diseñados y omitir el proceso de autenticación, obteniendo acceso no autorizado.
La falla recibió un puntaje de 4.7/10, mencionan los especialistas en auditorías de sistemas.
CVE-2020-3152: Esta falla existe debido a que la aplicación no impone restricciones de seguridad adecuadamente. Los administradores locales pueden enviar comandos especialmente diseñados a la CLI para lograr una escalada de privilegios y ejecutar comandos arbitrarios en el sistema operativo subyacente. Esta vulnerabilidad recibió un puntaje de 6.1/10.
Las fallas residen en las siguientes versiones de Cisco Connected Mobile Experiences: 10.6.0, 10.6.1, 10.6.2.
La explotación de estas fallas requiere acceso local, lo que reduce el riesgo de explotación de forma considerable. No obstante, los expertos en auditorías de sistemas consideran que la ausencia de parches de seguridad afecta a los usuarios.