Cisco ha
publicado cuatro boletines de seguridad para alertar de otras tantas
vulnerabilidades en Cisco WebEx Meetings Server que podrían permitir a un
atacante remoto evitar la autenticación, conseguir contraseñas cifradas o
realizar ataques de cross-site scripting y de cross-site request forgery.
Cisco WebEx es un sistema para la realización
de reuniones online como si se llevaran a cabo de forma presencial, con la
posibilidad de compartir documentos, ofrecer presentaciones, mostrar productos
y servicios, etc. así como realizar grabaciones de las mismas.
Detalle e
Impacto de la vulnerabilidad
- El primer problema, con CVE-2014-8033, reside en una API expuesta que puede permitir a un atacante remoto sin autenticar conseguir acceso de administrador mediante el envío de una URL específicamente creada.
- Con CVE-2014-8032, una vulnerabilidad en OutlookAction LI de Cisco WebEx Meetings Server puede permitir a un usuario remoto autenticado conseguir contraseñas cifradas.
- Con CVE-2014-8030, una debilidad en la limpieza del parámetro email de la página sendPwMail.do puede facilitar la construcción de ataques de cross-site scripting (XSS).
- Por último, con CVE-2014-8031, una vulnerabilidad en el entorno web podría permitir a un atacante remoto la realización de ataques cross-site request forgery (CSRF).
- Cisco no ofrece actualizaciones gratuitas para estos problemas, al estar considerados de gravedad baja a media, por lo que los usuarios afectados deberán contactar con su canal de soporte para obtener versiones actualizadas.
- Cisco WebEx Meetings Server Authentication Bypass
Vulnerability http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-8033
- Cisco WebEx Meetings Server Password Encryption
Vulnerability http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-8032
- Cisco WebEx Meetings Server Cross-Site Scripting
Vulnerability http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-8030
- Cisco WebEx Meetings Server Cross-Site Request
Forgery Vulnerability http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-8031