Cisco Systems ha corretto due vulnerabilità di elevata gravità rilevate nella sua piattaforma di videoconferenza Webex Network Recording Player per Microsoft Windows e Cisco Webex Player per Microsoft Windows, che se sfruttate potrebbero consentire a un aggressore di eseguire codice sui sistema interessati.

Le vulnerabilità  ( CVE-2020-3127 e CVE-2020-3128 ) entrambe 7,8 su 10,0 sulla scala CVSS, sono dovute a un’insufficiente convalida di alcuni elementi all’interno di una registrazione Webex archiviata nel formato di registrazione avanzato (ARF) o nel formato di registrazione Webex (WRF), e possono essere sfruttate inviando un file ARF o WRF dannoso a un utente tramite un collegamento o un allegato e-mail e inducendo l’utente ad aprire il file sul sistema locale. Un exploit riuscito potrebbe consentire all’attaccante di eseguire codice arbitrario sul sistema interessato con i privilegi dell’utente target.

Le vulnerabilità riguardano le seguenti versioni di Cisco Webex Network Recording Player per Microsoft Windows e Cisco Webex Player per Microsoft Windows, disponibili nei siti Cisco Webex Meetings, Cisco Webex Meetings Online e Cisco Webex Meetings Server:

  • Cisco Webex Meetings – Tutte le versioni di Webex Network Recording Player e Webex Player precedenti alla versione WBS 39.5.17 o WBS 39.11.0
  • Cisco Webex Meetings Online – Tutte le versioni di Webex Network Recording Player e Webex Player precedenti alla versione 1.3.49
  • Cisco Webex Meetings Server – Tutte le versioni di Webex Network Recording Player precedenti alla versione 3.0MR3SecurityPatch1 e 4.0MR2SecurityPatch2

Per determinare quale versione di Cisco Webex Network Recording Player o Cisco Webex Player è installata su un sistema, gli utenti possono aprire il player e scegliere Aiuto> Informazioni. Le versioni fixed sono disponibili di seguito.

Oltre a Webex, Cisco ha rilasciato patch che risolvono i difetti legati a un totale di 13 CVE.

 

https://tools.cisco.com/security/center/publicationListing.x

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200304-webex-player

https://nvd.nist.gov/vuln/detail/CVE-2020-3127

Twitter
Visit Us
LinkedIn
Share
YOUTUBE