Allvarliga sårbarheter i Cisco Webex-produkter

Sårbarhet Cisco WebEx WebEx Meeting Server

Cisco har publicerat säkerhetsrättningar för sårbarheter i Webex-produkter, varav ett flertal allvarliga i bland annat Cisco Webex Network Recording Player och Cisco Webex Player för Microsoft Windows. Dessa har nivån 7.8 i den tiogradiga CVSS-skalan. Sårbarheten möjliggör för en angripare att exekvera godtycklig kod på det berörda systemet [1].

Även en allvarlig sårbarhet i Cisco Intelligent Proximity, som har nivån 7.4 på CVSS-skalan, avser SSL-implentation och medger att en icke autentiserad fjärrangripare att visa och ändra information som delas via Cisco Webex videoenheter och samarbetsytor. Cisco inte ännu publicerat säkerhetsrättningar, men sårbarheten berör alla versioner av nedan listade produkter som har Proximity-funktionen aktiverad samt att programmet används för att ansluta till lokala enheter [2].

Säkerhetsrättning för en sårbarhet i Cisco Webex Meetings Client för MacOS har också publicerats. Denna sårbarhet har nivå 4.3 på CVSS-skalan [3].

Påverkade produkter

CVE-2020-3127 och CVE-2020-3128

- Cisco Webex Meetings — alla Webex Network Recording Player och Webex Player versioner äldre än WBS 39.5.17 eller WBS 39.11.0
- Cisco Webex Meetings Online — alla Webex Network Recording Player och Webex Player versioner äldre än 1.3.49
- Cisco Webex Meetings Server — alla Webex Network Recording Player versioner äldre än 3.0MR3
- SecurityPatch1 och 4.0MR2SecurityPatch2

CVE-2020-3155

Cisco Intelligent Proximity application
Cisco JabberCisco Webex Meetings
Cisco Webex TeamsCisco Meeting App

CVE-2020-3182 Cisco Webex Meetings Client för MacOS version 40.1.8.5 och äldre

Rekommendationer

CERT-SE rekommenderar att snarast uppdatera sårbara produkter och ta del av Ciscos mitigerande åtgärder.

Källor

[1] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200304-webex-player#vp

[2] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-proximity-ssl-cert-gBBu3RB#vp

[3] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-info-disc-OHqg982#vp