sábado, 10 de enero de 2015

Diversas vulnerabilidades en Cisco WebEx Meetings Server

Cisco ha publicado cuatro boletines de seguridad para alertar de otras tantas vulnerabilidades en Cisco WebEx Meetings Server que podrían permitir a un atacante remoto evitar la autenticación, conseguir contraseñas cifradas o realizar ataques de cross-site scripting y de cross-site request forgery.

Cisco WebEx es un sistema para la realización de reuniones online como si se llevaran a cabo de forma presencial, con la posibilidad de compartir documentos, ofrecer presentaciones, mostrar productos y servicios, etc. así como realizar grabaciones de las mismas.

El primer problema, con CVE-2014-8033, reside en una API expuesta que puede permitir a un atacante remoto sin autenticar conseguir acceso de administrador mediante el envío de una URL específicamente creada.  

Con CVE-2014-8032, una vulnerabilidad en OutlookAction LI de Cisco WebEx Meetings Server puede permitir a un usuario remoto autenticado conseguir contraseñas cifradas.

Con CVE-2014-8030, una debilidad en la limpieza del parámetro email de la página sendPwMail.do puede facilitar la construcción de ataques de cross-site scripting (XSS).

Por último, con CVE-2014-8031, una vulnerabilidad en el entorno web podría permitir a un atacante remoto la realización de ataques cross-site request forgery (CSRF).

Cisco no ofrece actualizaciones gratuitas para estos problemas, al estar considerados de gravedad baja a media, por lo que los usuarios afectados deberán contactar con su canal de soporte para obtener versiones actualizadas.

Más información:

Cisco WebEx Meetings Server Authentication Bypass Vulnerability

Cisco WebEx Meetings Server Password Encryption Vulnerability

Cisco WebEx Meetings Server Cross-Site Scripting Vulnerability

Cisco WebEx Meetings Server Cross-Site Request Forgery Vulnerability


Antonio Ropero
Twitter: @aropero


No hay comentarios:

Publicar un comentario en la entrada