Cisco
ha publicado cinco boletines de seguridad para alertar de otras tantas
vulnerabilidades en Cisco WebEx Meetings Server que podrían permitir a un
atacante remoto obtener información sensible, realizar ataques de cross-site
scripting o de inyección SQL.
El primer problema, con CVE-2015-4210,
reside en una validación insuficiente de las entradas del usuario, lo que
podría facilitar a un atacante remoto la construcción de ataques de cross-site
scripting (XSS).
Con CVE-2015-4209, unavulnerabilidad debida a una inconsistencia en las comprobaciones de
autorización podrá permitir a un atacante enumerar las reuniones programadas y
descargar el calendario para cada reunión. Con CVE-2015-4207, un problema de
inclusión de información sensible en las URLs, podrá permitir a un atacante
conectar a una reunión WebEx sin necesidad de registro.
Por otra parte, con CVE-2015-4208,
una vulnerabilidad causada por la inclusión de información sensible en las URLs
como parámetros GET, que además podrá ser empleada para inyectar comandos SQL
directamente a través de la URL.
Por último, con CVE-2015-4212,
una vulnerabilidad de exposición de información sensible que podrá permitir a
un atacante remoto sin autenticar obtener acceso a datos y credenciales.
Los clientes de Cisco con
contratos activos podrán obtener actualizaciones a través del Software Center
en
Más información:
Cisco WebEx Meetings Meeting Access Number
Vulnerability
Cisco WebEx Meeting Center GET
Parameter Vulnerability
Cisco WebEx Meetings Host Calendar
Download Vulnerability
Cisco WebEx Meetings Reflected
Cross-Site Scripting Vulnerability
Cisco WebEx Meeting Center Data and
Credential Exposure Vulnerability
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario