Cisco Webex 漏洞允许远程执行代码

admin 2021年12月3日13:36:35cnnvd_news评论11 次浏览阅读模式

       近日,Cisco Systems 发布了14个产品漏洞修补程序,其中包括12个中危漏洞和2个高危漏洞。日前,已修复了2个高危漏洞,其中一个漏洞位于Webex视频会议平台,它在内部网络安全测试中被发现,对Cisco Webex Video Mesh软件在2019.09.19.1956m(固定版本)之前的版本都会产生影响,该漏洞编号为CNNVD-202001-241、 CVE-2019-16005。

       该漏洞存在于Cisco Webex Video Mesh的基于Web的管理界面中,该功能可用于视频会议的本地基础结构来增强音频、视频和内容,并在此基础上进行远程攻击。Cisco本周发布安全公告称:成功利用此漏洞可使攻击者在目标节点上以根用户权限对潜存的Linux操作系统执行任意命令。

       尽管攻击者可远程利用这些漏洞,但他们需要通过身份验证,这意味着攻击者首先需要通过管理权限登录web管理界面,然后再向应用程序提交请求,但在一般情况下Webex平台对这些请求并不会直接通过。

       此外,还发布了针对Cisco IOS和Cisco IOS XE软件web用户界面中另一个严重故障的修复程序。IOS XE是基于Linux Cisco 网络操作系统(IOS)的一个版本,是Cisco 路由器和交换机的驱动软件。IOS XE支持的产品包括企业交换机(包括Cisco的Catalyst系列)、分支路由器和边缘路由器(包括ASR 1013)。

       实验发现,此漏洞可使未经身份验证的远程攻击者在受影响的系统上发起跨站点伪造(CSRF)请求攻击。CSRF攻击者通过使用社交软件发起电子邮件,诱使受害者点击链接,然后将伪造的请求发送到服务器。该漏洞被记录为CNNVD-202001-242、 CVE-2019-16009。

       Cisco称该漏洞产生原因在于:受影响设备的web用户界面CSRF保护不足,而攻击者可以通过对用户进行恶意跟踪来利用该漏洞。成功利用此漏洞可使攻击者对目标用户的权限进行任意操作,如果用户本身具有管理权限,攻击者还可以更改配置、对命令进行重新加载执行。

       据了解,该漏洞由MehmetÖnder Key发现,Cisco IOS或Cisco IOS XE软件16.1.1之前启用了HTTP服务器功能的版本会产生影响。

  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月3日13:36:35
  • 转载请务必保留本文链接:http://zone.ci/archives/cnnvd/cnnvd_news/2021/12/03/644.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: