聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
适用于 BroadWorks 的Webex 将思科Webex的视频会议和协同特性与 BroadWorks 的统一通信平台集成。虽然思科尚未给该漏洞分配CVE编号,但在一份安全公告中提到已经推送配置变更修复该漏洞,并建议客户重启思科 Webex 应用以获得修复方案。
思科解释称,“适用于BroadWorks 的Webex 45.2中存在一个低危漏洞,如为SIP通信配置了不安全的传输,则可导致未认证的远程攻击者访问数据和凭据。相关问题可导致认证用户访问客户端中的明文凭据和服务器日志。恶意人员可利用该漏洞和相关问题来访问数据和凭据并假冒用户。”
该漏洞是由敏感信息暴露在SIP标头中引起的,仅影响在Windows 环境中运行的思科 BroadWorks(本地)和适用于 BroadWorks 的Webex(混合云/本地)实例。
思科建议管理员为SIP通信配置安全传输,加密传输中的数据作为临时应变措施,直至环境中配备配置变更。思科还提到,“建议修改凭据,预防恶意人员已经获得凭据的情况。”
该公司还提到,并未发现在野恶意利用该漏洞的迹象或分享更多漏洞信息的公开信息。
本周一,CISA将2023年1月修复的思科漏洞CVE-2023-20118纳入必修清单。该漏洞可导致攻击者在RV016等路由器上执行任意命令。上个月也有其它报道称,未修复的思科IOS XE 网络设备已遭利用。
原文始发于微信公众号(代码卫士):思科: Webex 漏洞可导致凭据遭远程访问
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论