Vulnerabilitats en Cisco Webex Meetings Server
Cisco publica diverses vulnerabilitats que afecten el seu servidor de reunions en línia que podrien permetre a un atacant obtindre informació sensible i comprometre el servici.
Risc: Mitjà
Cisco WebEx és un sistema per a la realització de reunions en línia com si es dugueren a terme de forma presencial, amb la possibilitat de compartir documents, oferir presentacions, mostrar productes i servicis, etc. així com realitzar gravacions d'estes.
S’han detectat cinc vulnerabilitats:
- Fallada en la validació de les entrades de l’usuari, la qual cosa podria facilitar a un atac de tipus cross-site scripting (XSS) (CVE-2015-4210).
- Una inconsistència en les comprovacions en el procés d’autorització que permetria enumerar les reunions programades i descarregar el calendari per a cada reunió (CVE-2015-4209).
- Fallada a l'incloure informació sensible en les URL, que podria permetre a un atacant connectar a una reunió WebEx sense necessitat de registrar-se (CVE-2015-4207).
- Relacionada amb l’anterior, fallada a l'incloure informació sensible en les URL com a paràmetres GET, que podria ser utilitzada també per a injectar comandaments SQL (CVE-2015-4208).
- Una altra fallada d’exposició d’informació sensible que podria permetre a un atacant remot sense autenticar obtindre accés a dades i credencials (CVE-2015-4212).
Sistemes Afectats: Cisco WebEx Meeting Center
Referències: CVE-2015-4210,CVE-2015-4209,CVE-2015-4207,CVE-2015-4208,CVE-2015-4212
Solució:Aplicar les actualitzacions des de Software Center: https://software.cisco.com/download/navigator.html
Notes: