Risques
- Accès à distance avec les droits administrateur
- Contournement de la politique de sécurité
- Injection de code indirecte
Systèmes affectés
Cisco Unified MeetingPlace Web Conferencing versions 6.0 et 7.0.
Résumé
Deux vulnérabilités dans Cisco Unified MeetingPlace Web Conferencing permettent d'accéder à distance à l'application avec des droits administrateur et de réaliser des attaques de type cross-site scripting.
Description
Deux vulnérabilités ont été découvertes dans Cisco Unified MeetingPlace Web Conferencing :
- un utilisateur malintentionné peut, par le biais d'une requête spécifiquement constituée, contourner le mécanisme d'authentification du serveur et ainsi obtenir un accès à l'application avec des droits d'administration ;
- un utilisateur authentifié peut, par le biais de la page d'édition du compte, réaliser des attaques de type cross-site scripting.
Solution
Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Cisco 20090225-mtgplace du 25 février 2009 : http://www.cisco.com/warp/public/707/cisco-sa-20090225-mtgplace.shtml
- Bulletin de sécurité Cisco 20090226-mtgplace du 26 février 2009 : http://www.cisco.com/warp/public/707/cisco-sr-20090226-mtgplace.shtml
- Référence CVE CVE-2009-0614 https://www.cve.org/CVERecord?id=CVE-2009-0614
