publicité

Cisco corrige un bug d'escalade des privilèges dans Webex Meetings


Technologie : Non, il n'y a pas de solution de contournement. Patchez maintenant cet outil de communication unifiée, installé dans bon nombre d'entreprises.

Cisco publie une mise à jour de sécurité pour Webex Meetings qui résout une vulnérabilité exploitable qui permet une escalade des privilèges. La faille de sécurité, CVE-2018-15442, existe dans l'application Cisco Webex Meetings Desktop pour Windows et "pourrait permettre à un attaquant local authentifié d'exécuter des commandes arbitraires en tant qu'utilisateur privilégié".



Un manque de validation suffisante des paramètres fournis par l'utilisateur dans l'application cause ce problème. La faille peut être exploitée par un pirate qui invoquerait la commande de service de mise à jour avec un argument spécifique. Cela pourrait forcer le système à exécuter des commandes arbitraires avec des privilèges d'utilisateur système.

Selon l'avis de sécurité de Cisco, toutes les versions de Cisco Webex Meetings Desktop App antérieures à la version 33.6.0, Cisco Webex Productivity Tools Releases 32.6.0 et les suivantes avant 33.0.5 sur Microsoft Windows sont affectées. Il n'y a pas de solution de contournement et pour protéger les systèmes contre cette vulnérabilité, jugée "importante". Les administrateurs doivent appliquer la correction de Cisco ou autoriser les mises à jour automatiques.

Le plein de failles chez Cisco

L'alerte sur Webex Meetings a été émise en même temps qu'un avis de vulnérabilité critique sur une faille libssh récemment divulgué qui affecte les fournisseurs qui utilisent cette bibliothèque. CVE-2018-10933, qui a été divulgué la semaine dernière, est un bug de contournement de l'authentification qui permet à des attaquants non autorisés et distants d'accéder à un système cible.

Des fournisseurs tels que F5 et Red hat ont également été affectés par cette vulnérabilité, qui est considérée comme "triviale" à exploiter. Cisco a confirmé que cette faille de sécurité a également un impact sur ses produits.

Plus tôt ce mois-ci, Cisco a résolu deux vulnérabilités graves dans le logiciel Digital Network Architecture (DNA) Center édité par l'entreprise. Si elles sont exploitées, ces failles pourraient permettre aux attaquants de prendre le contrôle des fonctions de gestion des identités à distance, et d'accéder aux fonctions de gestion de base.

A lire aussi :

Cisco a supprimé sa septième porte dérobée et c’est une bonne chose

C’est la septième backdoor découverte et retirée par Cisco dans le micrologiciel des commutateurs Cisco Small Business...

Articles relatifs

Contenus sponsorisés

Contenus partenaires

Réagissez à l'article

Connectez vous ou Enregistrez-vous pour commencer la discussion
publicité