思科Webex网络录制播放器远程执行代码漏洞

  • A+
所属分类:网络安全新闻
阿里


推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

思科发布了安全补丁,以修复用于高级录制格式(ARF)的Webex网络录制播放器中的RCE漏洞。
思科发布了安全补丁,以解决Webex网络录制播放器中的高级录制格式(ARF)(CVE-2018-15414,CVE-2018-15421和CVE-2018-15422)中的漏洞,这些漏洞可能被未经身份验证的远程攻击者利用在易受攻击的系统上执行任意代码。

思科Webex网络录制播放器远程执行代码漏洞

Webex会议服务器是一种协作和通信解决方案,可部署在私有云上,管理Webex Meetings Suite服务和Webex Meetings Online托管多媒体会议解决方案。

会议服务允许客户以WRF格式在线或以ARF格式或本地计算机记录会议并存储。

当用户访问Webex Meetings Suite站点上托管的录制文件时,可以自动安装相对播放器Network Recording Player,也可以通过从Webex站点下载来手动安装。

Webex记录文件缺乏正确的验证是漏洞的根本原因,这些漏洞可能允许未经身份验证的远程攻击者在目标计算机上执行任意代码。

用于高级录制格式(ARF)的Cisco Webex网络录制播放器中的多个漏洞可能允许未经身份验证的远程攻击者在目标系统上执行任意代码。阅读思科发布的安全公告。

这些漏洞是由于对Webex录制文件的不正确验证造成的。攻击者可以通过向用户发送包含恶意文件的链接或电子邮件附件并说服用户在Cisco Webex播放器中打开该文件来利用这些漏洞。成功的攻击可能允许攻击者在受影响的系统上执行任意代码。

攻击者可以通过诱骗受害者在Cisco Webex播放器中打开恶意文件来利用该漏洞,该文件可以通过电子邮件作为附件或通过引用它的内容中的链接发送。

这些漏洞会影响以下ARF录制播放器:

Cisco Webex会议套件(WBS32) - WBS32.15.10之前的Webex网络录制播放器版本
Cisco Webex会议套件(WBS33) - WBS33.3之前的Webex网络录制播放器版本
Cisco Webex Meetings Online - Webex网络录制播放器版本1.3.37之前的版本
Cisco Webex会议服务器 - 3.0MR2之前的Webex网络录制播放器版本
每个版本的Webex网络录制播放器适用于Windows,OS X和Linux至少受到其中一个问题的影响。

以下网络录制播放器更新可解决漏洞:

会议套件(WBS32) - 播放器版本WBS32.15.10及更高版本和会议套件(WBS33) - 播放器版本WBS33.3及更高版本;
在线会议 - 播放器版本1.3.37及更高版本; 和会议服务器 - 播放器版本3.0MR2及更高版本。
思科警告说,这些问题没有已知的解决方法。

CE安全网

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: