CH azonosító
CH-12367Angol cím
Cisco WebEx Meeting Center Multiple VulnerabilitiesFelfedezés dátuma
2015.06.24.Súlyosság
MagasÖsszefoglaló
A Cisco a WebEx Meeting Center esetében számos hibát orvosolt. Ezek a sérülékenységek megannyi kockázatot vetnek fel kezdve a jogosulatlan kódfuttatástól, egészen az adatlopásig.
Leírás
A fejlesztők a következő sebezhetőségeket szüntették meg:
- Nem kellő szintű ellenőrzés a bemeneti paraméterek esetében, ami XSS-károkozásokra adhat lehetőséget, és tetszőleges HTML, valamit script kódok futtatását segítheti elő.
- Egyes paraméterek esetében nem kellő szintű ellenőrzés, ami SQL injection alapú támadásokhoz vezethet.
- Sérülékenység a hozzáférés-kezelésben.
- Bizalmas adatokhoz való hozzáférés lehetősége URL-eken keresztül.
- A naptárhoz való hozzáférések nem kellő szintű ellenőrzése.
Megoldás
A Cisco által kiadott patch-ek telepítése.
Támadás típusa
Cross Site Scripting (XSS/CSS)Information disclosure (Információ/adat szivárgás)
Manipulation of data
Privilege escalation (jogosultság kiterjesztés)
SQL Injection
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
execute code
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Egyéb referencia: isbk.hu
CVE-2015-4207 - NVD CVE-2015-4207
CVE-2015-4208 - NVD CVE-2015-4208
CVE-2015-4209 - NVD CVE-2015-4209
CVE-2015-4210 - NVD CVE-2015-4210
CVE-2015-4212 - NVD CVE-2015-4212