Vulnerabilidad en los sitios de Cisco Webex Meetings Suite (CVE-2020-3142)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-306
Ausencia de autenticación para una función crítica
Fecha de publicación:
26/01/2020
Última modificación:
28/01/2020
Descripción
Una vulnerabilidad en los sitios de Cisco Webex Meetings Suite y los sitios de Cisco Webex Meetings Online podría permitir que un asistente remoto no autenticado se una a una reunión protegida por contraseña sin proporcionar la contraseña de la reunión. El intento de conexión debe iniciarse desde una aplicación móvil Webex para iOS o Android. La vulnerabilidad se debe a la exposición involuntaria de información de la reunión en un flujo de reunión de reunión específico para aplicaciones móviles. Un asistente no autorizado podría aprovechar esta vulnerabilidad accediendo a un ID de reunión o URL de reunión conocidos El navegador web móvil device’s . Luego, el navegador solicitará iniciar la aplicación device’s móvil Webex. Una explotación con éxito podría permitir que el asistente no autorizado se una a la reunión protegida por contraseña. El asistente no autorizado estará visible en la lista de asistentes de la reunión como asistente móvil. Cisco ha aplicado actualizaciones que abordan esta vulnerabilidad y no se requiere ninguna acción del usuario. Esta vulnerabilidad afecta a los sitios de Cisco Webex Meetings Suite y a los lanzamientos de sitios en línea de Cisco Webex Meetings anteriores a la versión 39.11.5 y 40.1.3.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:webex_meetings_online:*:*:*:*:*:*:*:* | 39.11.5 (excluyendo) | |
| cpe:2.3:a:cisco:webex_meetings_online:*:*:*:*:*:*:*:* | 40.1.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página