Múltiples vulnerabilidades en Cisco Jabber

Fecha de publicación 11/12/2020
Importancia
5 - Crítica
Recursos Afectados
  • Cisco Jabber para Windows, versiones:
    • anteriores a 12.1;
    • 12.1;
    • 12.5;
    • 12.6;
    • 12.7;
    • 12.8;
    • 12.9.
  • Cisco Jabber para MacOS, versiones:
    • 12.7 y anteriores;
    • 12.8;
    • 12.9.
  • Cisco Jabber para Android e iOS, versiones:
    • 12.8 y anteriores;
    • 12.9.
Descripción

Olav Sortland Thoresen, investigador de Watchcom, junto a un equipo de Cisco, que llevó a cabo unas pruebas de seguridad, han detectado 5 vulnerabilidades, 1 de severidad crítica, 2 altas y 2 medias, de tipo inserción de información sensible en los datos enviados, inyección de comandos, inyección de comandos del sistema operativo, divulgación de información y ejecución arbitraria de código.

Solución
  • Cisco Jabber para Windows, versiones:
    • 12.1.4;
    • 12.5.3
    • 12.6.4;
    • 12.7.3;
    • 12.8.4;
    • 12.9.3.
  • Cisco Jabber para MacOS, versiones:
    • 12.8.5;
    • 12.9.4.
  • Cisco Jabber para Android e iOS, versión 12.9.4.
Detalle
  • La vulnerabilidad crítica se debe a la validación inadecuada del contenido de los mensajes. Un atacante remoto, autenticado, podría explotar esta vulnerabilidad enviando mensajes XMPP, especialmente diseñados, a los productos afectados, resultando en la ejecución de código arbitrario. Se ha asignado el identificador CVE-2020-26085 para esta vulnerabilidad.

Para el resto de vulnerabilidades, se han asignado los siguientes identificadores: CVE-2020-27134, CVE-2020-27133, CVE-2020-27132 y CVE-2020-27127.

Encuesta valoración

Listado de referencias
Cisco Jabber Desktop and Mobile Client Software Vulnerabilities
Etiquetas