Múltiples vulnerabilidades en Cisco Jabber
Fecha de publicación 11/12/2020
Importancia
5 - Crítica
Recursos Afectados
- Cisco Jabber para Windows, versiones:
- anteriores a 12.1;
- 12.1;
- 12.5;
- 12.6;
- 12.7;
- 12.8;
- 12.9.
- Cisco Jabber para MacOS, versiones:
- 12.7 y anteriores;
- 12.8;
- 12.9.
- Cisco Jabber para Android e iOS, versiones:
- 12.8 y anteriores;
- 12.9.
Descripción
Olav Sortland Thoresen, investigador de Watchcom, junto a un equipo de Cisco, que llevó a cabo unas pruebas de seguridad, han detectado 5 vulnerabilidades, 1 de severidad crítica, 2 altas y 2 medias, de tipo inserción de información sensible en los datos enviados, inyección de comandos, inyección de comandos del sistema operativo, divulgación de información y ejecución arbitraria de código.
Solución
- Cisco Jabber para Windows, versiones:
- 12.1.4;
- 12.5.3
- 12.6.4;
- 12.7.3;
- 12.8.4;
- 12.9.3.
- Cisco Jabber para MacOS, versiones:
- 12.8.5;
- 12.9.4.
- Cisco Jabber para Android e iOS, versión 12.9.4.
Detalle
- La vulnerabilidad crítica se debe a la validación inadecuada del contenido de los mensajes. Un atacante remoto, autenticado, podría explotar esta vulnerabilidad enviando mensajes XMPP, especialmente diseñados, a los productos afectados, resultando en la ejecución de código arbitrario. Se ha asignado el identificador CVE-2020-26085 para esta vulnerabilidad.
Para el resto de vulnerabilidades, se han asignado los siguientes identificadores: CVE-2020-27134, CVE-2020-27133, CVE-2020-27132 y CVE-2020-27127.
Listado de referencias