Vulnerabilidad Crítica en Cisco Wireless LAN Controller (WLC) – CVE-2022-20695

Una vulnerabilidad que afecta al controlador de LAN inalámbrica (WLC) en los productos Cisco, puede ser usada y explotada de forma remota por un atacante no autenticado para tomar el control del sistema afectado; la explotación de manera exitosa podría permitir a los atacantes aumentar los privilegios en un dispositivo vulnerable o causar una condición de denegación de servicio (DoS).

Esta vulnerabilidad ha sido registrada bajo el CVE-2022-20695 (puntaje CVSS de 10), la cual se debe a una incorrecta implementación del algoritmo de validación de contraseñas; permitiendo al atacante iniciar sesión en un dispositivo afectado con credenciales manipuladas; dependiendo de las credenciales diseñadas / manipuladas, podría incluso obtener privilegios de administrador, para de esta manera llevar a cabo acciones maliciosas tomando el control completo del sistema vulnerable.

Productos afectados:

El problema se identificó en las versiones 8.10.151.0 y 8.10.162.0 del software WLC y afecta a los siguientes dispositivos (si tienen la compatibilidad con macfilter radius configurada en modo otro)

Controladores inalámbricos 3504
Controladores inalámbricos 5520
Controladores inalámbricos 8540
Mobility Express
Controlador inalámbrico virtual ( vWLC).

Recomendaciones:

Se recomienda a los clientes afectados que actualicen a la versión 8.10.171.0 o posterior del software WLC.

Productos confirmados no vulnerables:

Controlador inalámbrico integrado Catalyst 9800 para switches de las series Catalyst 9300, 9400 y 9500
Controladores inalámbricos de la serie Catalyst 9800
Controlador inalámbrico Catalyst 9800 para la nube
Controlador inalámbrico integrado en puntos de acceso Catalyst
Controlador de LAN inalámbrica (WLC) Productos AireOS que no figuran en la sección Productos vulnerables

Para mayor información: