Cisco ha reportado dos vulnerabilidades de severidad crítica y otra de severidad alta que podrían permitir a un atacante, remoto y no autenticado, realizar una escalada de privilegios, ejecutar comandos arbitrarios, tomar el control del dispositivo o modificar parámetros de configuración. Estas vulnerabilidades podrían haber permitido a atacantes no autentificados acceder a sus dispositivos con credenciales codificadas o claves SSH predeterminadas. Cisco ha publicado actualizaciones de seguridad para solucionar dos vulnerabilidades críticas que podrían haber permitido a atacantes no autentificados iniciar sesión en los dispositivos afectados utilizando credenciales codificadas o claves SSH predeterminadas.
El primer fallo corregido por el gigante informático, rastreado como CVE-2021-34795, afecta a los Cisco Catalyst Passive Optical Network (PON) switches Optical Network Terminal (ONT). La vulnerabilidad ha recibido una puntuación CVSS de 10/10 y afecta a los siguientes switches Catalyst PON:
- Catalyst PON Switch:
- CGP-ONT-1P;
- CGP-ONT-4P;
- CGP-ONT-4PV;
- CGP-ONT-4PVC;
- CGP-ONT-4TVCW.
La segunda vulnerabilidad crítica, rastreada como CVE-2021-40119, reside en el mecanismo de autenticación SSH basado en claves de Cisco Policy Suite (CPS) y afecta a las siguientes versiones de CPS:
- Cisco Policy Suite:
- 20.2.0 y anteriores;
- 21.1.0.
