CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

06/07/2015

Vulnerabilidades en Cisco Webex Meetings Server

Cisco publica varias vulnerabilidades que afectan a su servidor de reuniones online que podrían permitir a un atacante obtener información sensible y comprometer el servicio.

Riesgo: Medio

Cisco WebEx es un sistema para la realización de reuniones online como si se llevaran a cabo de forma presencial, con la posibilidad de compartir documentos, ofrecer presentaciones, mostrar productos y servicios, etc. así como realizar grabaciones de las mismas.

Se han detectado cinco vulnerabilidades:
  • Fallo en la validación de las entradas del usuario, lo que podría facilitar a un ataque de tipo cross-site scripting (XSS)  (CVE-2015-4210).
  • Una inconsistencia en las comprobaciones en el proceso de autorización que permitiría enumerar las reuniones programadas y descargar el calendario para cada reunión (CVE-2015-4209).
  • Fallo al incluir información sensible en las URLs, que podría permitir a un atacante conectar a una reunión WebEx sin necesidad de registrarse (CVE-2015-4207).
  • Relacionada con la anterior, fallo al incluir información sensible en las URLs como parámetros GET, que podría ser utilizada también para inyectar comandos SQL (CVE-2015-4208).
  • Otro fallo de exposición de información sensible que podría permitir a un atacante remoto sin autenticar obtener acceso a datos y credenciales (CVE-2015-4212).
Sistemas Afectados:

Cisco WebEx Meeting Center

Referencias:

CVE-2015-4210,CVE-2015-4209,CVE-2015-4207,CVE-2015-4208,CVE-2015-4212

Solución:

Aplicar las actualizaciones desde Software Center: https://software.cisco.com/download/navigator.html

Notas:
Fuente: Hispasec una-al-dia

CSIRT-CV