Cisco
ha confirmado una
vulnerabilidad en Cisco TelePresence
Communication Server (VCS) que podría permitir a un atacante remoto realizar
ataques de cross-site request forgery.
El problema se debe a
insuficientes protecciones contra ataques CSRF en el código de la aplicación
web de Cisco TelePresence Video Communication Server (VCS) lo que podría permitir
a un atacante remoto la realización de este tipo de ataques. Este tipo de
vulnerabilidades permiten a un atacante ejecutar funcionalidades de una web
determinada a través de la sesión de otro usuario en esa web. De esta forma un
atacante podría tener acceso al servidor con los mismos permisos que el usuario
atacado.
La vulnerabilidad tiene asignado
el CVE-2014-6376. Cisco no ha publicado ninguna actualización evitar este problema.
Más información:
Cisco TelePresence Video Communication Server
Cross-Site Request Forgery Vulnerability
Antonio Ropero
Twitter: @aropero