Martin Ramsdale

**Nome do software vulnerável e versões afetadas** Software Cisco IOS XR de 64 bits (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade no carregador de inicialização PXE (Preboot eXecution Environment) aprimorado poderia permitir que um invasor remoto não autenticado executasse código não assinado durante o processo de inicialização PXE em um dispositivo afetado. A vulnerabilidade existe porque os comandos internos emitidos quando o processo de inicialização de rede PXE está carregando uma imagem de software não são verificados adequadamente. Um invasor poderia explorar essa vulnerabilidade comprometendo o servidor de inicialização PXE e substituindo uma imagem de software válida por uma maliciosa, ou se passando pelo servidor de inicialização PXE e enviando uma resposta de inicialização PXE com um arquivo malicioso. Uma exploração bem-sucedida poderia permitir que o invasor executasse código não assinado no dispositivo afetado. **Recomendações** Para corrigir essa vulnerabilidade, tanto o Cisco IOS XR Software quanto o BIOS devem ser atualizados. O código do BIOS está incluído no Cisco IOS XR Software, mas pode exigir etapas adicionais de instalação. Para obter mais informações, consulte a seção “Software corrigido” do comunicado. Como solução alternativa temporária, considere restringir o acesso ao servidor de inicialização PXE para minimizar o risco de exploração. Evite usar o processo de inicialização PXE até que o problema seja resolvido.