domingo, 5 de julio de 2015

Diversas vulnerabilidades en Cisco WebEx Meetings Server

Cisco ha publicado cinco boletines de seguridad para alertar de otras tantas vulnerabilidades en Cisco WebEx Meetings Server que podrían permitir a un atacante remoto obtener información sensible, realizar ataques de cross-site scripting o de inyección SQL. 

Cisco WebEx es un sistema para la realización de reuniones online como si se llevaran a cabo de forma presencial, con la posibilidad de compartir documentos, ofrecer presentaciones, mostrar productos y servicios, etc. así como realizar grabaciones de las mismas.

El primer problema, con CVE-2015-4210, reside en una validación insuficiente de las entradas del usuario, lo que podría facilitar a un atacante remoto la construcción de ataques de cross-site scripting (XSS).

Con CVE-2015-4209, unavulnerabilidad debida a una inconsistencia en las comprobaciones de autorización podrá permitir a un atacante enumerar las reuniones programadas y descargar el calendario para cada reunión. Con CVE-2015-4207, un problema de inclusión de información sensible en las URLs, podrá permitir a un atacante conectar a una reunión WebEx sin necesidad de registro.

Por otra parte, con CVE-2015-4208, una vulnerabilidad causada por la inclusión de información sensible en las URLs como parámetros GET, que además podrá ser empleada para inyectar comandos SQL directamente a través de la URL.

Por último, con CVE-2015-4212, una vulnerabilidad de exposición de información sensible que podrá permitir a un atacante remoto sin autenticar obtener acceso a datos y credenciales.

Los clientes de Cisco con contratos activos podrán obtener actualizaciones a través del Software Center en

Más información:

Cisco WebEx Meetings Meeting Access Number Vulnerability

Cisco WebEx Meeting Center GET Parameter Vulnerability

Cisco WebEx Meetings Host Calendar Download Vulnerability

Cisco WebEx Meetings Reflected Cross-Site Scripting Vulnerability

Cisco WebEx Meeting Center Data and Credential Exposure Vulnerability


Antonio Ropero

Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada