Cisco corrige des vulnérabilités importantes dans Webex

Cisco a corrigé plusieurs vulnérabilités importantes dans la plateforme Webex. Leurs exploitations permettraient aux attaquants d'exécuter du code arbitraire.

Les vulnérabilités sont dues à une validation incorrecte des fichiers d’enregistrement Webex. Un attaquant pourrait exploiter ces vulnérabilités en envoyant à un utilisateur un lien ou une pièce jointe contenant un fichier malveillant et en le persuadant d'ouvrir le fichier dans le lecteur Webex.

Informations
+

Risque

  • Exécution de code arbitraire

Criticité

  • CVSS v3 : 7.8

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Cisco Webex Meetings Suite (WBS32) - Versions du lecteur d'enregistrement réseau Webex antérieures à WBS32.15.10
  • Cisco Webex Meetings Suite (WBS33) - Versions du lecteur d'enregistrement réseau Webex antérieures à WBS33.3
  • Cisco Webex Meetings Online - versions de Webex Network Recording Player antérieures à 1.3.37
  • Cisco Webex Meetings Server - Versions de Webex Network Recording Player antérieures à 3.0MR2

CVE

  • CVE-2018-15414
  • CVE-2018-15421
  • CVE-2018-15422

Recommandations
+

Correctifs

  • Un correctif de sécurité a été publié par Cisco corrigeant la vulnérabilité.

Solution de contournement

  • Aucune solution de contournement ne permet de résoudre ces vulnérabilités. Cependant, il est possible de supprimer le lecteur d'enregistrement réseau Cisco Webex et le lecteur Cisco Webex en suivant la procédure de désinstallation proposée par le système d'exploitation.