Cisco informa en un aviso de seguridad sobre dos vulnerabilidades que afectan a Cisco WebEx Meetings Server, una de ejecución remota de comandos (crítica) y otra de denegación de servicio (alta importancia), catalogadas de Importancia: 5 - Crítica
Recursos afectados:
- Cisco WebEx Meetings Server versión 2.6
- Ejecución remota de comandos (crítica).- Debido a una verificación insuficiente de los datos de entrada de usuario, un atacante remoto no autenticado puede evadir las restricciones de seguridad de un host de la DMZ e inyectar comandos en el sistema objetivo con privilegios elevados. Se ha asignado a esta vulnerabilidad el identificador CVE-2016-1482.
- Denegación de servicio (alta).- Debido a una validación no adecuada de las cuentas de usuario para servicios específicos, un atacante remoto no autenticado puede provocar una denegación de servicio realizando repetidos intentos de acceso a un servicio determinado. Se ha asignado a esta vulnerabilidad el identificador CVE-2016-1483.
Actualizar a versión 2.7 de Cisco WebEx Meetings Server:
- Los clientes con soporte del fabricante pueden descargar las actualizaciones visitando el enlace http://www.cisco.com/go/psirt
- Los clientes sin contrato de soporte pueden solicitar la actualización contactando con el centro de asistencia técnica de Cisco en el siguiente enlace: http://www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html
- Cisco WebEx Meetings Server Remote Command Execution Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160914-wem
- Cisco WebEx Meetings Server Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160914-wms