当前位置:首页 > 黑客技术 > 正文内容

Cisco Webex 漏洞允许远程执行代码

访客56年前 (1970-01-01)黑客技术956

上周三,Cisco Systems 发布了14个产品漏洞修补程序,其中包括12个中危漏洞和2个高危漏洞。日前,已修复了2个高危漏洞,其中一个漏洞位于Webex视频会议平台,它在内部 *** 安全测试中被发现,对Cisco Webex Video Mesh软件在2019.09.19.1956m(固定版本)之前的版本都会产生影响。

该漏洞存在于Cisco Webex Video Mesh的基于Web的管理界面中,该功能可用于视频会议的本地基础结构来增强音频、视频和内容,并在此基础上进行远程攻击。Cisco本周发布安全公告称:成功利用此漏洞可使攻击者在目标节点上以根用户权限对潜存的Linux操作系统执行任意命令。

尽管攻击者可远程利用这些漏洞,但他们需要通过身份验证,这意味着攻击者首先需要通过管理权限登录web管理界面,然后再向应用程序提交请求,但在一般情况下Webex平台对这些请求并不会直接通过。

此外,这家 *** 巨头还发布了针对Cisco IOS和Cisco IOS XE软件web用户界面中另一个严重故障的修复程序。IOS XE是基于Linux Cisco *** 操作系统(IOS)的一个版本,是Cisco 路由器和交换机的驱动软件。IOS XE支持的产品包括企业交换机(包括Cisco的Catalyst系列)、分支路由器和边缘路由器(包括ASR 1013)。

实验发现,此漏洞可使未经身份验证的远程攻击者在受影响的系统上发起跨站点伪造(CSRF)请求攻击。CSRF攻击者通过使用社交软件发起电子邮件,诱使受害者点击链接,然后将伪造的请求发送到服务器。

Cisco称该漏洞产生原因在于:受影响设备的web用户界面CSRF保护不足,而攻击者可以通过对用户进行恶意跟踪来利用该漏洞。成功利用此漏洞可使攻击者对目标用户的权限进行任意操作,如果用户本身具有管理权限,攻击者还可以更改配置、对命令进行重新加载执行。

据了解,该漏洞由MehmetÖnder Key发现,Cisco IOS或Cisco IOS XE软件16.1.1之前启用了HTTP服务器功能的版本会产生影响。目前还没有发现任何针对该漏洞的解决办法,此漏洞在CVSS上被评分8.8分(满分10分)。

消息来源:threatpost, 译者:dengdeng,校审:吴烦恼
本文由 HackerNews.cc 翻译整理,封面来源于 *** 。
转载请注明“转自 HackerNews.cc ” 并附上原文链接

扫描二维码推送至手机访问。

版权声明:本文由黑客技术发布,如需转载请注明出处。

本文链接:https://w-123.com/33037.html

“Cisco Webex 漏洞允许远程执行代码” 的相关文章

俄罗斯管道巨头 Transneft 遭攻击 79 GB数据泄露

俄乌冲突进入第 3 周,一些非常规行为者继续针对俄罗斯国家支持的企业发起攻击,进行一连串的黑客攻击和数据泄露。而由俄罗斯国家控制的石油管道巨头 Transneft 无疑成为了重点攻击对象。 本周四,泄密托管网站 Distributed Denial of Secrets 发布了一个 79GB 的电子...

Windows Security 获新功能:可阻止安装恶意驱动程序

Windows 10/11 系统中的 Windows 安全中心现在变得更令人安心了。正如微软操作系统安全和企业副总裁 David Weston 所宣布的那样,内置的免费 Windows 杀毒软件现在提供了一个新的选项,可以防止脆弱的驱动程序。只不过目前还没有在 Windows 11 系统中看到这个选...

ESET:黑客借中东新闻网站对目标访客发起攻击

经历了持续一年多的追踪,网络安全研究人员终于摸清了“中东之眼”新闻网站入侵事件的来龙去脉。由 ESET 周二发布的报告可知,一群黑客入侵了总部位于伦敦的这家热门新闻网站。这家网站着眼于中东地区的新闻报道,而攻击者的最终目标却是网站访客。 伊朗驻阿布扎比大使馆网站的脚本注入 据悉,这轮黑客活动一直从...

超过千万安卓用户成为付费短信诈骗应用的目标

一场在全球范围性欺诈行为被发现,它利用151个恶意Android应用程序,下载量达1050万次,在未经用户同意和知情的情况下将用户拉入付费订阅服务。 名为“Ultimams”的付费短信诈骗活动据信于2021年5月开始,涉及的应用程序涵盖范围广泛,包括输入法、二维码扫描仪、视频和照片编辑器、垃圾邮件拦...

以色列 20 多万名学生的个人信息遭到泄露

据外媒报道,上周,约28万名以色列学生的个人信息在针对AcadeME公司的网络攻击中被泄露。据Jerusalem Post报道,Think Safe Cyber Facebook组织的May Brooks-Kempler估计,约有28万名在校或在校学生的个人信息被盗。 AcadeME是以色列一个全国...

CISA、FBI、NSA 就勒索软件攻击严重增加发布警告

Hackernews 编译,转载请注明出处: 澳大利亚、英国和美国的网络安全部门发布了一份联合警告,称2021年针对全球关键基础设施组织的复杂、高影响力的勒索软件攻击将有所增加。 这些事件针对的行业范围很广,包括国防、应急服务、农业、政府设施、 IT、医疗保健、金融服务、教育、能源、慈善机构...

评论列表

孤央箴词
3年前 (2022-05-28)

不会直接通过。此外,这家网络巨头还发布了针对Cisco IOS和Cisco IOS XE软件web用户界面中另一个严重故障的修复程序。IOS XE是基于Linux Cisco 网络操作系统(IOS)的一个版本,是Cisco 路由器和交换机的驱动软件。IOS X

冢渊吝吻
3年前 (2022-05-28)

S和Cisco IOS XE软件web用户界面中另一个严重故障的修复程序。IOS XE是基于Linux Cisco 网络操作系统(IOS)的一个版本,是Cisco 路由器和交换机的驱动软件。IOS XE支持的产

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。