Cisco исправила четыре уязвимости в сервисе WebEx

image

Теги: уязвимость, злоумышленник, эксплуатация

Эксплуатация брешей позволяла злоумышленникам получить доступ к видеоконференциям, а также к различным административным функциям.

Компания Cisco исправила четыре уязвимости подделки межсайтовых запросов (Cross-Site Request Forgery,CSRF) в сервисе WebEx. Эксплуатация брешей позволяла злоумышленникам получить доступ к видеоконференциям, а также к различным административным функциям. Уязвимости были обнаружены в версиях WebEx 1,5 и ниже.

Как  отмечается  в предупреждении Cisco, одна из уязвимостей ( CVE-2014-8031 ) содержалась в коде web-фреймворка Cisco WebEx Meetings Server и позволяла неавторизированному удаленному пользователю выполнить подделку межсайтовых запросов. Злоумышленник мог проэксплуатировать брешь путем убеждения пользователя целевой системы перейти по вредоносной ссылке или посетить подконтрольный преступнику web-сайт.

Эксплуатация остальных трех брешей позволяла злоумышленникам осуществить CSRF-атаки ( CVE-2014-8030 ), сгенерировать зашифрованный пароль пользователя (CVE-2014-8032), а также получить права администратора ( CVE-2014-8033 ).

В мае прошлого года Cisco исправила несколько уязвимостей в сервисе WebEx, позволявшие удаленное выполнение кода. В ноябре того же года компания выпустила обновление с исправлением нескольких функций, а также усилила контроль над безопасностью сервиса. 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.