Se han identificado varios fallos en Cisco WebEx que pueden permitir a atacantes remotos no autenticados llevar a cabo diferentes acciones no deseadas.
Recursos afectados
- Cisco
Hosted WebEx Meeting Center
Detalle e Impacto de las vulnerabilidades
Las vulnerabilidades detectadas son las siguientes:
- Identificación del número de acceso a
la reunión.- La vulnerabilidad, provocada por la inclusión de
información sensible en las direcciones, puede ser explotada para que un
atacante remoto no autenticado identifique el número de acceso a una
reunión y se conecte a la misma sin necesidad de haberse registrado
previamente. See ha reservado el identificador CVE-2015-4207.
- Acceso y descarga sin autorización del
calendario.- El fallo, provocado por la comprobación inconsistente
durante el proceso de autorización, puede permitir a un atacante remoto no
autenticado descargar el calendario de la reunión. Se ha reservado el
identificador CVE-2015-4209.
- Validación incorrecta de datos .-
La vulnerabilidad, provocada por la validación incorrecta de los datos
introducidos por el usuario del software afectado, puede permitir a un
atacante remoto no autenticado llevar a cabo un ataque XSS. Se ha
reservado el identificador CVE-2015-4210.
Recomendación
- Cisco
ha publicado una serie de actualizaciones que corrigen los fallos
anteriormente descritos. Para obtenerlas recomiendan contactar con su
soporte técnico o descargarlas desde el Software Center.
Más información
- Cisco WebEx Meetings Reflected Cross-Site
Scripting Vulnerability http://tools.cisco.com/security/center/viewAlert.x?alertId=39460
- Cisco WebEx Meetings Meeting Access Number Vulnerability
http://tools.cisco.com/security/center/viewAlert.x?alertId=39457
- Cisco WebEx Meetings Host Calendar Download
Vulnerability http://tools.cisco.com/security/center/viewAlert.x?alertId=39459