Benoit Malaboeuf

**Name of the Vulnerable Software and Affected Versions** Cisco IOS XE Software (affected versions not specified) **Description** A vulnerability in the Cisco IOx application hosting subsystem could allow an authenticated, local attacker to elevate privileges to root on an affected device. This issue is due to insufficient restrictions on the hosted application. An attacker could exploit this vulnerability by logging in to and then escaping the Cisco IOx application container, potentially allowing the execution of arbitrary commands on the underlying operating system with root privileges. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Software Cisco DNA Center (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade na interface de gerenciamento baseada na web poderia permitir que um invasor remoto não autenticado realizasse um ataque de falsificação de solicitação entre sites (CSRF), manipulando um usuário autenticado para que executasse ações maliciosas sem seu conhecimento ou consentimento. O problema se deve a proteções CSRF insuficientes. Um invasor poderia explorar essa vulnerabilidade persuadindo um usuário a seguir um link especialmente criado, o que poderia permitir que ele realizasse ações arbitrárias no dispositivo, incluindo a modificação da configuração do dispositivo, o encerramento da sessão do usuário e a execução de comandos do Command Runner. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do software Cisco DNA Center anteriores à 1.3.0.6 Versões do software Cisco DNA Center anteriores à 1.3.1.4 **Descrição** A vulnerabilidade se deve à validação insuficiente das entradas fornecidas pelo usuário pela interface de gerenciamento baseada na web de um dispositivo afetado. Um invasor poderia explorar essa vulnerabilidade persuadindo um usuário a clicar em um link malicioso. Uma exploração bem-sucedida poderia permitir que o invasor executasse código de script arbitrário no contexto da interface afetada ou acessasse informações confidenciais baseadas no navegador. Para explorar essa vulnerabilidade, o invasor precisa de credenciais de administrador. **Recomendações** Para versões do Cisco DNA Center Software anteriores à 1.3.0.6, atualize para a versão 1.3.0.6 ou posterior. Para versões do Cisco DNA Center Software anteriores à 1.3.1.4, atualize para a versão 1.3.1.4 ou posterior. Como solução alternativa temporária, considere restringir o acesso à interface de gerenciamento baseada na web para minimizar o risco de exploração. Evite usar a interface com credenciais de administrador até que o problema seja resolvido.