Cisco ha publicado cuatro boletines de seguridad para alertar de otras tantas vulnerabilidades en Cisco WebEx Meetings Server que podrían permitir a un atacante remoto evitar la autenticación, conseguir contraseñas cifradas o realizar ataques de cross-site scripting y de cross-site request forgery.
Cisco WebEx es un sistema para la realización de reuniones online como si se llevaran a cabo de forma presencial, con la posibilidad de compartir documentos, ofrecer presentaciones, mostrar productos y servicios, etc. así como realizar grabaciones de las mismas.
El primer problema, con CVE-2014-8033, reside en una API expuesta que puede permitir a un atacante remoto sin autenticar conseguir acceso de administrador mediante el envío de una URL específicamente creada.
Con CVE-2014-8032, una vulnerabilidad en OutlookAction LI de Cisco WebEx Meetings Server puede permitir a un usuario remoto autenticado conseguir contraseñas cifradas.
Con CVE-2014-8030, una debilidad en la limpieza del parámetro email de la página sendPwMail.dopuede facilitar la construcción de ataques de cross-site scripting (XSS).
Por último, con CVE-2014-8031, una vulnerabilidad en el entorno web podría permitir a un atacante remoto la realización de ataques cross-site request forgery (CSRF).
Cisco no ofrece actualizaciones gratuitas para estos problemas, al estar considerados de gravedad baja a media, por lo que los usuarios afectados deberán contactar con su canal de soporte para obtener versiones actualizadas.
Más información:
Cisco WebEx Meetings Server Authentication Bypass Vulnerability
Cisco WebEx Meetings Server Password Encryption Vulnerability
Cisco WebEx Meetings Server Cross-Site Scripting Vulnerability
Cisco WebEx Meetings Server Cross-Site Request Forgery Vulnerability
Antonio Ropero
Twitter: @aropero
Deja una respuesta