Cisco
ha publicado cuatro boletines de seguridad para alertar de otras tantas vulnerabilidades
en Cisco WebEx Meetings Server que podrían permitir a un atacante remoto evitar
la autenticación, conseguir contraseñas cifradas o realizar ataques de cross-site
scripting y de cross-site request forgery.
Cisco WebEx es un sistema para la
realización de reuniones online como si se llevaran a cabo de forma presencial,
con la posibilidad de compartir documentos, ofrecer presentaciones, mostrar
productos y servicios, etc. así como realizar grabaciones de las mismas.
El primer problema, con CVE-2014-8033,
reside
en una API expuesta que puede permitir a un atacante remoto sin autenticar
conseguir acceso de administrador mediante el envío de una URL específicamente
creada.
Con CVE-2014-8032, una
vulnerabilidad en OutlookAction LI de Cisco WebEx Meetings Server puede
permitir a un usuario remoto autenticado conseguir contraseñas cifradas.
Con CVE-2014-8030, una
debilidad en la limpieza del parámetro email de la página sendPwMail.do
puede facilitar la construcción de ataques de cross-site scripting (XSS).
Por último, con CVE-2014-8031, una
vulnerabilidad en el entorno web podría permitir a un atacante remoto la
realización de ataques cross-site request forgery (CSRF).
Cisco no ofrece actualizaciones
gratuitas para estos problemas, al estar considerados de gravedad baja a media,
por lo que los usuarios afectados deberán contactar con su canal de soporte
para obtener versiones actualizadas.
Más información:
Cisco WebEx Meetings Server Authentication
Bypass Vulnerability
Cisco WebEx Meetings Server Password Encryption
Vulnerability
Cisco WebEx Meetings Server Cross-Site
Scripting Vulnerability
Cisco WebEx Meetings Server Cross-Site Request
Forgery Vulnerability
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario