12 de enero de 2015

CISCO WEBEX MEETINGS SERVER . Descubiertas múltiples vulnerabilidades

Cisco ha publicado cuatro boletines de seguridad para alertar de otras tantas vulnerabilidades en Cisco WebEx Meetings Server que podrían permitir a un atacante remoto evitar la autenticación, conseguir contraseñas cifradas o realizar ataques de cross-site scripting y de cross-site request forgery.
 Cisco WebEx es un sistema para la realización de reuniones online como si se llevaran a cabo de forma presencial, con la posibilidad de compartir documentos, ofrecer presentaciones, mostrar productos y servicios, etc. así como realizar grabaciones de las mismas.
Detalle e Impacto de la vulnerabilidad
  •  El primer problema, con CVE-2014-8033, reside en una API expuesta que puede permitir a un atacante remoto sin autenticar conseguir acceso de administrador mediante el envío de una URL específicamente creada. 
  •  Con CVE-2014-8032, una vulnerabilidad en OutlookAction LI de Cisco WebEx Meetings Server puede permitir a un usuario remoto autenticado conseguir contraseñas cifradas.
  •  Con CVE-2014-8030, una debilidad en la limpieza del parámetro email de la página sendPwMail.do puede facilitar la construcción de ataques de cross-site scripting (XSS).
  •  Por último, con CVE-2014-8031, una vulnerabilidad en el entorno web podría permitir a un atacante remoto la realización de ataques cross-site request forgery (CSRF).
  •  Cisco no ofrece actualizaciones gratuitas para estos problemas, al estar considerados de gravedad baja a media, por lo que los usuarios afectados deberán contactar con su canal de soporte para obtener versiones actualizadas.
Más información:
Fuente: Hispasec
Publicado por en
Etiquetas: , ,