Cisco исправила четыре уязвимости в сервисе WebEx
Эксплуатация брешей позволяла злоумышленникам получить доступ к видеоконференциям, а также к различным административным функциям.
Компания Cisco исправила четыре уязвимости подделки межсайтовых запросов (Cross-Site Request Forgery,CSRF) в сервисе WebEx. Эксплуатация брешей позволяла злоумышленникам получить доступ к видеоконференциям, а также к различным административным функциям. Уязвимости были обнаружены в версиях WebEx 1,5 и ниже.
Как отмечается в предупреждении Cisco, одна из уязвимостей (CVE-2014-8031) содержалась в коде web-фреймворка Cisco WebEx Meetings Server и позволяла неавторизированному удаленному пользователю выполнить подделку межсайтовых запросов. Злоумышленник мог проэксплуатировать брешь путем убеждения пользователя целевой системы перейти по вредоносной ссылке или посетить подконтрольный преступнику web-сайт.
Эксплуатация остальных трех брешей позволяла злоумышленникам осуществить CSRF-атаки (CVE-2014-8030), сгенерировать зашифрованный пароль пользователя (CVE-2014-8032), а также получить права администратора (CVE-2014-8033).
В мае прошлого года Cisco исправила несколько уязвимостей в сервисе WebEx, позволявшие удаленное выполнение кода. В ноябре того же года компания выпустила обновление с исправлением нескольких функций, а также усилила контроль над безопасностью сервиса.