首頁 > 安全研究 > 安全通報 > 安全通告

思科發布多個高危漏洞風險通告

發布時間 2020-03-06

漏洞編號和級別


CVE編號:CVE-2020-3127,危險級別:高危,CVSS分值:廠商自評:7.8,官方未評定

CVE編號:CVE-2020-3128,危險級別:高危,CVSS分值:廠商自評:7.8,官方未評定

CVE編號:CVE-2020-3148,危險級別:高危,CVSS分值:廠商自評:7.1,官方未評定

CVE編號:CVE-2020-3155,危險級別:高危,CVSS分值:廠商自評:7.4,官方未評定


影響版本


CVE編號

影響產品

CVE-2020-3127

CVE-2020-3128

Cisco Webex   Meetings — All Webex Network Recording Player and Webex Player releases   earlier than Release WBS 39.5.17 or WBS 39.11.0

Cisco Webex   Meetings Online — All Webex Network Recording Player and Webex Player   releases earlier than Release 1.3.49

Cisco Webex   Meetings Server — All Webex Network Recording Player releases earlier than   Release 3.0MR3SecurityPatch1 and 4.0MR2SecurityPatch2

CVE-2020-3148

Cisco Prime   Network Registrar releases earlier than 10.1

CVE-2020-3155

Cisco Intelligent   Proximity application

Cisco Jabber

Cisco Webex   Meetings

Cisco Webex Teams

Cisco Meeting App


漏洞概述


3月4日思科發布了產品安全更新,修復多個漏洞,包括4個高危漏洞,概述如下:


CVE-2020-3127/CVE-2020-3128

Cisco Webex Network Recording Player是美國思科(Cisco)公司的一款用于播放視頻會議記錄的播放器。


基于Windows平臺的Cisco Webex Network Recording Player和Cisco Webex Player中存在輸入驗證錯誤漏洞,該漏洞源于程序沒有充分驗證ARF或WRF格式下的Webex記錄信息。攻擊者可通過發送惡意的ARF或WRF文件利用該漏洞以目標用戶權限在系統上執行任意代碼。


CVE-2020-3148

Cisco Prime Network Registrar(CPNR)是美國思科(Cisco)公司的一款網絡注冊器產品。該產品提供了動態主機配置協議(DHCP)、域名系統(DNS)和IP地址管理(IPAM)等服務。


Cisco CPNR 10.1之前版本(releases)中基于Web的接口存在跨站請求偽造漏洞,該漏洞源于程序沒有進行充分的跨站請求偽造保護。遠程攻擊者可通過誘使用戶點擊惡意鏈接利用該漏洞修改設備配置,進而可以編輯或創建任意權限用戶的賬戶。


CVE-2020-3155

Cisco Intelligent Proximity solution中的SSL實現存在信任管理問題漏洞,該漏洞源于缺少對SSL服務器證書的驗證。遠程攻擊者可通過使用中間人技術,攔截受影響客戶端和端點之間的流量并使用偽造的證書來冒充端點利用該漏洞查看或修改信息。


漏洞驗證


暫無PoC/EXP。


修復建議


目前廠商已發布CVE-2020-3127/CVE-2020-3128,CVE-2020-3148的升級補丁以修復漏洞,補丁獲取鏈接:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200304-webex-player

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cpnr-csrf-WWTrDkyL


CVE-2020-3155的升級補丁還未發布,只有緩解措施,詳見鏈接:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-proximity-ssl-cert-gBBu3RB


參考鏈接


https://tools.cisco.com/security/center/publicationListing.x


上一篇 下一篇