Argitalpen data: 2020/03/05
Garrantzia: Altua
Kaltetutako baliabideak:
- Cisco Prime Network Registrar, 10.1 baino lehenagoko bertsio guztiak;
- Cisco Webex Meetings, WBS 39.5.17 edo WBS 39.11.0 bertsioak baino lehenagoko Webex Network Recording Player eta Webex Player-en bertsio guztiak;
- Cisco Webex Meetings Online, 1.3.49 bertsioa baino lehenagoko Webex Network Recording Player eta Webex Player-en bertsio guztiak;
- Cisco Webex Meetings Server, 3.0MR3SecurityPatch1 eta 4.0MR2SecurityPatch2 bertsioak baino lehenagoko Webex Network Recording Player-en bertsio guztiak;
- Cisco Intelligent Proximity aplikazioa;
- Cisco Jabber;
- Cisco Webex Meetings;
- Cisco Webex Teams;
- Cisco Meeting App.
Azalpena:
Ciscok, beste ikertzaile batzuekin lankidetzan, hainbat produkturi eragiten dioten kritikotasun altuko lau ahultasun aurkitu ditu. Autentifikatu gabeko urruneko erasotzaile batek kode arbitrarioa exekuta lezake, trafikoa atzeman edo gailuaren konfigurazioak aldatu.
Konponbidea:
Aipatutako ahultasunak konpontzen dituzten eguneraketak Software Cisco-ren deskarga paneletik deskarga daitezke.
Xehetasuna:
- Microsoft Windows-erako Cisco Webex Network Recording Player eta Cisco Webex Player-ek bi ahultasun dituzte. Horien jatorria Webex-en grabazioen barnean elementu jakin batzuk modu nahikoan ez baliozkotzea da. Urruneko erasotzaile batek kode arbitrarioa exekuta lezake sisteman. Ahultasun horietarako CVE-2020-3127 eta CVE-2020-3128 identifikatzaileak erabili dira.
- Cisco Prime Network Registrar ahula da Coss-site Request Forgery erako eraso baten aurrean. Urruneko erasotzaile batek aldaketak egin litzake gailuaren konfigurazioan. Ahultasun horretarako CVE-2020-3148 identifikatzailea erabili da.
- Cisco Webex-en Cisco Intelligent Proximity-ren SSLren inplementazioan dagoen ahultasun bat baliatuz, autentifikatu gabeko urruneko erasotzaile batek Man in the middle erako eraso bat egin lezake eta trafikoa atzeman. Ahultasun horretarako CVE-2020-3155 identifikatzailea erabili da.
Etiketak: Eguneraketa, Cisco, Ahultasuna