A Cisco lançou atualizações de segurança para solucionar falhas críticas de segurança em seus produtos que podem ser exploradas por agentes mal-intencionados para executar código arbitrário nos sistemas afetados.

A mais grave das vulnerabilidades é uma falha de injeção de comando no Cisco Industrial Network Director (CVE-2023-20036, pontuação CVSS: 9,9), que reside no componente de interface do usuário web e surge como resultado da validação de entrada imprópria ao carregar um pacote de dispositivos.

“Uma exploração bem-sucedida pode permitir que o invasor execute comandos arbitrários como NT AUTHORITY\SYSTEM no sistema operacional de um dispositivo afetado”, disse a Cisco em seu comunicado.

Outra falha crítica no mecanismo de autenticação externa da plataforma de simulação de rede do Modeling Labs também foi corrigida pela Cisco.

Rastreada como CVE-2023-20154 (pontuação CVSS: 9,1), a vulnerabilidade pode permitir que um invasor remoto não autenticado acesse a interface da Web com privilégios administrativos.

Os patches foram disponibilizados na versão 1.11.3 , com a Cisco creditando um pesquisador “externo” não identificado por relatar os dois problemas.