Cisco ha publicado cinco boletines de seguridad para alertar de otras tantas vulnerabilidades en Cisco WebEx Meetings Server que podrían permitir a un atacante remoto obtener información sensible, realizar ataques de cross-site scripting o de inyección SQL.
Cisco WebEx es un sistema para la realización de reuniones online como si se llevaran a cabo de forma presencial, con la posibilidad de compartir documentos, ofrecer presentaciones, mostrar productos y servicios, etc. así como realizar grabaciones de las mismas.
El primer problema, con CVE-2015-4210, reside en una validación insuficiente de las entradas del usuario, lo que podría facilitar a un atacante remoto la construcción de ataques de cross-site scripting (XSS).
Con CVE-2015-4209, unavulnerabilidad debida a una inconsistencia en las comprobaciones de autorización podrá permitir a un atacante enumerar las reuniones programadas y descargar el calendario para cada reunión. Con CVE-2015-4207, un problema de inclusión de información sensible en las URLs, podrá permitir a un atacante conectar a una reunión WebEx sin necesidad de registro.
Por otra parte, con CVE-2015-4208, una vulnerabilidad causada por la inclusión de información sensible en las URLs como parámetros GET, que además podrá ser empleada para inyectar comandos SQL directamente a través de la URL.
Por último, con CVE-2015-4212, una vulnerabilidad de exposición de información sensible que podrá permitir a un atacante remoto sin autenticar obtener acceso a datos y credenciales.
Los clientes de Cisco con contratos activos podrán obtener actualizaciones a través del Software Center en
Más información:
Cisco WebEx Meetings Meeting Access Number Vulnerability
Cisco WebEx Meeting Center GET Parameter Vulnerability
Cisco WebEx Meetings Host Calendar Download Vulnerability
Cisco WebEx Meetings Reflected Cross-Site Scripting Vulnerability
Cisco WebEx Meeting Center Data and Credential Exposure Vulnerability
Antonio Ropero
Twitter: @aropero
Deja un comentario