آسیب‌پذیری اجرای کد از راه دور در محصول Webex Network Recording Player سیسکو

 

شرکت سیسکو این هفته به‌روزرسانی امنیتی را منتشر کرده که در آن ۳ آسیب‌پذیری در Webex Network Recording Player برای فرمت ARF وصله شده است. بهره‌برداری موفق از این آسیب‌پذیری به یک مهاجم بدون احراز هویت و از راه دور اجازه می‌دهد تا بر روی سیستم هدف به اجرای کدهای دلخواه بپردازد. این آسیب‌پذیری به این دلیل وجود دارد که فایل‌های رکوردشده‌ی Webex به درستی اعتبارسنجی نمی‌شوند. مهاجم با ارسال یک لینک و یا ضمیمه‌ی آلوده که دارای فایل مخربی است و متقادعد کردن کاربر به باز کردن آن با Cisco Webex Player، می‌تواند از این آسیب‌پذیری بهره‌برداری کند. این آسیب‌پذیری‌ها جزو اشکالات مهم طبقه‌بندی شده‌اند و امتیاز CVSS  آن‌ها از ۱۰ برابر با ۷٫۸ است.


هر پخش‌کننده‌ی رکوردهای ARF که در آن از Webex Network Recording Player استفاده شده باشد تحت تاثیر این آسیب‌پذیری قرار گرفته است. از جمله‌ی این محصولات می‌توان Cisco Webex Meetings Suite ،Cisco Webex Meetings Online و  Cisco Webex Meetings Server را نام برد. به این آسیب‌پذیری‌ها شناسه‌های CVE-2018-15414 ،CVE-2018-15421 و CVE-2018-15422 اختصاص داده شده است. نسخه‌ی ویندوز، OS X و لینوکس از این محصول حداقل تحت تاثیر یکی از این آسیب‌پذیری‌ها قرار گرفته است. در ادامه نسخه‌های آسیب‌پذیر و به‌روزرسانی‌شده از این محصولات را در جدول زیر مشاهده می‌کنید:
 

              

 

منبع

پست‌های مشابه

Leave a Comment