Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Exécution de code arbitraire à distance
- Injection de requêtes illégitimes par rebond (CSRF)
Systèmes affectés
- Cisco Intelligent Proximity
- Cisco Prime Network Registrar versions antérieures à 10.1
- Webex Meetings 39.5.x Sites versions antérieures à 39.5.17
- Webex Meetings Latest Sites versions antérieures à 40.0
- Webex Meetings Online versions antérieures à 1.3.49
- Webex Meetings Server versions 4.x antérieures à 4.0MR2SecurityPatch2
- Webex Meetings Server versions antérieures à 3.0MR3SecurityPatch1
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Cisco. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une atteinte à l'intégrité des données et une atteinte à la confidentialité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Cisco cisco-sa-20200304-webex-player du 04 mars 2020 https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200304-webex-player
- Bulletin de sécurité Cisco cisco-sa-cpnr-csrf-WWTrDkyL du 04 mars 2020 https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cpnr-csrf-WWTrDkyL
- Bulletin de sécurité Cisco cisco-sa-proximity-ssl-cert-gBBu3RB du 04 mars 2020 https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-proximity-ssl-cert-gBBu3RB
- Référence CVE CVE-2020-3127 https://www.cve.org/CVERecord?id=CVE-2020-3127
- Référence CVE CVE-2020-3128 https://www.cve.org/CVERecord?id=CVE-2020-3128
- Référence CVE CVE-2020-3148 https://www.cve.org/CVERecord?id=CVE-2020-3148
- Référence CVE CVE-2020-3155 https://www.cve.org/CVERecord?id=CVE-2020-3155
