Cisco исправила четыре уязвимости в сервисе WebEx

Компания Cisco исправила четыре уязвимости подделки межсайтовых запросов (Cross-Site Request Forgery,CSRF) в сервисе WebEx. Эксплуатация брешей позволяла злоумышленникам получить доступ к видеоконференциям, а также к различным административным функциям. Уязвимости были обнаружены в версиях WebEx 1,5 и ниже.

Как  отмечается  в предупреждении Cisco, одна из уязвимостей ( CVE-2014-8031 ) содержалась в коде web-фреймворка Cisco WebEx Meetings Server и позволяла неавторизированному удаленному пользователю выполнить подделку межсайтовых запросов. Злоумышленник мог проэксплуатировать брешь путем убеждения пользователя целевой системы перейти по вредоносной ссылке или посетить подконтрольный преступнику web-сайт.

Эксплуатация остальных трех брешей позволяла злоумышленникам осуществить CSRF-атаки ( CVE-2014-8030 ), сгенерировать зашифрованный пароль пользователя (CVE-2014-8032), а также получить права администратора ( CVE-2014-8033 ).

В мае прошлого года Cisco исправила несколько уязвимостей в сервисе WebEx, позволявшие удаленное выполнение кода. В ноябре того же года компания выпустила обновление с исправлением нескольких функций, а также усилила контроль над безопасностью сервиса.