Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en los cuadros de diálogo de advertencia de seguridad en la funcionalidad Multimedia Viewer de Cisco Webex Meetings (CVE-2020-3126)

Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-20 Validación incorrecta de entrada
Fecha de publicación:
13/04/2020
Última modificación:
14/04/2020

Descripción

Una vulnerabilidad dentro de la funcionalidad Multimedia Viewer de Cisco Webex Meetings, podría permitir a un atacante remoto autenticado omitir las protecciones de seguridad. La vulnerabilidad es debido a la falta de cuadros de diálogo de advertencia de seguridad cuando un host de sala visualiza archivos multimedia compartidos. Un atacante autenticado remoto podría explotar esta vulnerabilidad al usar el rol de host para compartir archivos dentro de la funcionalidad Multimedia sharing y convencer a un antiguo host de la sala para que vea ese archivo. Un cuadro de diálogo de advertencia comúnmente aparece advirtiendo a usuarios antes de que se muestre el archivo; sin embargo, el host anterior no vería ese cuadro de diálogo de advertencia, y cualquier multimedia compartida se representaría dentro del navegador del usuario. El atacante podría aprovechar este comportamiento para llevar a cabo ataques adicionales mediante la inclusión de archivos maliciosos dentro de la ventana del navegador de un host de sala objetivo.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 3.50 BAJA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
3.50
Gravedad 3.x
BAJA
Vector 2.0
AV:N/AC:M/Au:S/C:N/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 3.50 BAJA
Vector: AV:N/AC:M/Au:S/C:N/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno

Puntuación base 2.0
3.50
Gravedad 2.0
BAJA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:cisco:webex_meetings_server:t39.3:*:*:*:*:*:*:*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información