CISCO Webex Meetings sérülékenység

CH azonosító: CH-14766
Cím: CISCO Webex Meetings sérülékenység
Angol cím: CISCO Webex Meetings vulnerability

Publikálás dátuma: 2020.01.27.
Utolsó módosítás dátuma: 2020.01.27.


Leírás

A CVE-2020-3142 számon a CISCO Webex Video Meetings Suite szolgáltatást érintő, magas kockázati besorolású sérülékenység vált ismertté, amely segítségével a hitelesítéssel nem rendelkező, távoli résztvevő csatlakozhat bármely jelszóvédett értekezlethez a megfelelő jelszó ismerete nélkül.


Leírás forrása: Gyártói referencia: tools.cisco.com
Leírás utolsó módosítása: 2020.01.27.


Elemzés leírás

A CISCO Webex Meetings egy felhő alapú, videókonferenciák lebonyolítására, továbbá fájlmegosztásra specializálódott  szolgáltatás. A szolgáltatás lehetővé teszi a helyi és a felhőalapú erőforrások közötti terhelésmegosztást, ezzel biztosítva a folyamatos, magas minőségű adatátvitelt. A szoftver része egy állandó, virtuális iroda biztosítása, amely folyamatos összeköttetést biztosít az irodai és a távollévő dolgozók részére.

A sérülékenység kihasználásához a támadónak ismernie kell az un. értekezlet azonosítót, amelyet a CISCO WEBEX mobilalkalmazáson (mind iOS, mind Android verziók esetén) keresztül megnyitva, csatlakozhat az adott értekezlethez a szükséges jelszó nélkül. Csatlakozás után a a támadó megjelenítésre kerül a jelenlevők listájában, mint mobil résztvevő

Érintett verziók:

  • Cisco Webex Meeting Suites 39.11.5 előtti verziók
  • Cisco Webex Meeting Online 40.1.3 előtti verziók

 

A CISCO honlapján közzétette a hiba javítását tartalmazó szoftverfrissítést.


Elemzés leírás forrása: Gyártói referencia: tools.cisco.com
Elemzés leírás utolsó módosítása: 2020.01.27.


Hatás

CVSS3 Súlyosság és Metrika

Alap pontszám: 7.5 (Magas)
Vektor: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Hatás pontszáma:
Kihasználhatóság pontszáma:


Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Magas
Sértetlenség Hatása (I): Nincs
Rendelkezésre állás Hatása (A): Nincs

CVSS2 Súlyosság és Metrika

Alap pontszám: (Nincs)
Vektor:
Hatás alpontszáma:
Kihasználhatóság alpontszáma:




Hivatkozások

Gyártói referencia: tools.cisco.com
Egyéb referencia: nvd.nist.gov
Egyéb referencia: cve.mitre.org
Egyéb referencia: threatpost.com
Egyéb referencia: securityaffairs.co
CVE-2020-3142 - NVD CVE-2020-3142