Múltiples vulnerabilidades en productos de Cisco

Fecha de publicación 05/03/2020
Importancia
4 - Alta
Recursos Afectados
  • Cisco Prime Network Registrar, todas las versiones anteriores a la 10.1;
  • Cisco Webex Meetings, todas las versiones de Webex Network Recording Player y Webex Player, anteriores a las versiones WBS 39.5.17 o WBS 39.11.0;
  • Cisco Webex Meetings Online, todas las versiones de Webex Network Recording Player y Webex Player, anteriores a la versión 1.3.49;
  • Cisco Webex Meetings Server, todas las versiones de Webex Network Recording Player, anteriores a las versiones 3.0MR3SecurityPatch1 y 4.0MR2SecurityPatch2;
  • Aplicación Cisco Intelligent Proximity;
  • Cisco Jabber;
  • Cisco Webex Meetings;
  • Cisco Webex Teams;
  • Cisco Meeting App.
Descripción

Cisco, trabajando conjuntamente con varios investigadores, ha detectado cuatro vulnerabilidades de criticidad alta que afectan a múltiples productos. Un atacante remoto, no autenticado, podría ejecutar código arbitrario, interceptar tráfico o modificar las configuraciones del dispositivo.

Solución

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden descargarse desde el panel de descarga de Software Cisco.

Detalle
  • Cisco Webex Network Recording Player y Cisco Webex Player, ambas en sus versiones para Microsoft Windows, contienen dos vulnerabilidades que son debidas a una validación insuficiente de ciertos elementos dentro de las grabaciones de Webex. Un atacante remoto podría ejecutar código arbitrario en el sistema. Se han asignado los identificadores CVE-2020-3127 y CVE-2020-3128 para estas vulnerabilidades.
  • Cisco Prime Network Registrar es vulnerable a un ataque de Cross-site Request Forgery. Un atacante remoto podría realizar modificaciones en la configuración del dispositivo. Se ha asignado el identificador CVE-2020-3148 para esta vulnerabilidad.
  • Una vulnerabilidad en la implementación de SSL de Cisco Intelligent Proximity en Cisco Webex podría permitir a un atacante remoto, no autenticado, realizar un ataque de Man in the middle e interceptar el tráfico. Se ha asignado el identificador CVE-2020-3155 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Cisco Webex Network Recording Player and Cisco Webex Player Arbitrary Code Execution Vulnerabilities
Cisco Prime Network Registrar Cross-Site Request Forgery Vulnerability
Cisco Intelligent Proximity SSL Certificate Validation Vulnerability
Etiquetas