Cisco ha publicado cinco boletines de seguridad para alertar de otras tantas vulnerabilidades en Cisco WebEx Meetings Server que podrían permitir a un atacante remoto obtener información sensible, realizar ataques de cross-site scripting o de inyección SQL.
Cisco WebEx es un
sistema para la realización de reuniones online como si se llevaran a cabo de
forma presencial, con la posibilidad de compartir documentos, ofrecer
presentaciones, mostrar productos y servicios, etc. así como realizar
grabaciones de las mismas.
Detalle e Impacto de las vulnerabilidades
- El primer problema, con CVE-2015-4210, reside en una validación insuficiente de las entradas del usuario, lo que podría facilitar a un atacante remoto la construcción de ataques de cross-site scripting (XSS).
- Con CVE-2015-4209, unavulnerabilidad debida a una inconsistencia en las comprobaciones de autorización podrá permitir a un atacante enumerar las reuniones programadas y descargar el calendario para cada reunión. Con CVE-2015-4207, un problema de inclusión de información sensible en las URLs, podrá permitir a un atacante conectar a una reunión WebEx sin necesidad de registro.
- Por otra parte, con CVE-2015-4208, una vulnerabilidad causada por la inclusión de información sensible en las URLs como parámetros GET, que además podrá ser empleada para inyectar comandos SQL directamente a través de la URL.
- Por último, con CVE-2015-4212, una vulnerabilidad de exposición de información sensible que podrá permitir a un atacante remoto sin autenticar obtener acceso a datos y credenciales.
- Los clientes de Cisco con contratos activos podrán obtener actualizaciones a través del Software Center en https://software.cisco.com/download/navigator.html
- Cisco WebEx Meetings Meeting Access Number Vulnerability http://tools.cisco.com/security/center/viewAlert.x?alertId=39457
- Cisco WebEx Meeting Center GET Parameter Vulnerability http://tools.cisco.com/security/center/viewAlert.x?alertId=39458
- Cisco WebEx Meetings Host Calendar Download Vulnerability http://tools.cisco.com/security/center/viewAlert.x?alertId=39459
- Cisco WebEx Meetings Reflected Cross-Site Scripting Vulnerability http://tools.cisco.com/security/center/viewAlert.x?alertId=39460
- Cisco WebEx Meeting Center Data and Credential Exposure Vulnerability http://tools.cisco.com/security/center/viewAlert.x?alertId=39467