CH azonosító
CH-12367Angol cím
Cisco WebEx Meeting Center Multiple VulnerabilitiesFelfedezés dátuma
2015.06.24.Súlyosság
MagasÖsszefoglaló
A Cisco a WebEx Meeting Center esetében számos hibát orvosolt. Ezek a sérülékenységek megannyi kockázatot vetnek fel kezdve a jogosulatlan kódfuttatástól, egészen az adatlopásig.
Leírás
A fejlesztők a következő sebezhetőségeket szüntették meg:
- Nem kellő szintű ellenőrzés a bemeneti paraméterek esetében, ami XSS-károkozásokra adhat lehetőséget, és tetszőleges HTML, valamit script kódok futtatását segítheti elő.
- Egyes paraméterek esetében nem kellő szintű ellenőrzés, ami SQL injection alapú támadásokhoz vezethet.
- Sérülékenység a hozzáférés-kezelésben.
- Bizalmas adatokhoz való hozzáférés lehetősége URL-eken keresztül.
- A naptárhoz való hozzáférések nem kellő szintű ellenőrzése.
Megoldás
A Cisco által kiadott patch-ek telepítése.
Támadás típusa
Cross Site Scripting (XSS/CSS)Information disclosure (Információ/adat szivárgás)
Manipulation of data
Privilege escalation (jogosultság kiterjesztés)
SQL Injection
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
execute code
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Egyéb referencia: isbk.hu
CVE-2015-4207 - NVD CVE-2015-4207
CVE-2015-4208 - NVD CVE-2015-4208
CVE-2015-4209 - NVD CVE-2015-4209
CVE-2015-4210 - NVD CVE-2015-4210
CVE-2015-4212 - NVD CVE-2015-4212