思科发布多个高危漏洞风险通告
发布时间 2020-03-06漏洞编号和级别
CVE编号:CVE-2020-3127,危险级别:高危,CVSS分值:厂商自评:7.8,官方未评定
CVE编号:CVE-2020-3128,危险级别:高危,CVSS分值:厂商自评:7.8,官方未评定
CVE编号:CVE-2020-3148,危险级别:高危,CVSS分值:厂商自评:7.1,官方未评定
CVE编号:CVE-2020-3155,危险级别:高危,CVSS分值:厂商自评:7.4,官方未评定
影响版本
CVE编号 |
影响产品 |
CVE-2020-3127 CVE-2020-3128 |
Cisco Webex Meetings — All Webex Network Recording Player and Webex Player releases earlier than Release WBS 39.5.17 or WBS 39.11.0 Cisco Webex Meetings Online — All Webex Network Recording Player and Webex Player releases earlier than Release 1.3.49 Cisco Webex Meetings Server — All Webex Network Recording Player releases earlier than Release 3.0MR3SecurityPatch1 and 4.0MR2SecurityPatch2 |
CVE-2020-3148 |
Cisco Prime Network Registrar releases earlier than 10.1 |
CVE-2020-3155 |
Cisco Intelligent Proximity application Cisco Jabber Cisco Webex Meetings Cisco Webex Teams Cisco Meeting App |
漏洞概述
3月4日思科发布了产品安全更新,修复多个漏洞,包括4个高危漏洞,概述如下:
CVE-2020-3127/CVE-2020-3128
Cisco Webex Network Recording Player是美国思科(Cisco)公司的一款用于播放视频会议记录的播放器。
基于Windows平台的Cisco Webex Network Recording Player和Cisco Webex Player中存在输入验证错误漏洞,该漏洞源于程序没有充分验证ARF或WRF格式下的Webex记录信息。攻击者可通过发送恶意的ARF或WRF文件利用该漏洞以目标用户权限在系统上执行任意代码。
CVE-2020-3148
Cisco Prime Network Registrar(CPNR)是美国思科(Cisco)公司的一款网络注册器产品。该产品提供了动态主机配置协议(DHCP)、域名系统(DNS)和IP地址管理(IPAM)等服务。
Cisco CPNR 10.1之前版本(releases)中基于Web的接口存在跨站请求伪造漏洞,该漏洞源于程序没有进行充分的跨站请求伪造保护。远程攻击者可通过诱使用户点击恶意链接利用该漏洞修改设备配置,进而可以编辑或创建任意权限用户的账户。
CVE-2020-3155
Cisco Intelligent Proximity solution中的SSL实现存在信任管理问题漏洞,该漏洞源于缺少对SSL服务器证书的验证。远程攻击者可通过使用中间人技术,拦截受影响客户端和端点之间的流量并使用伪造的证书来冒充端点利用该漏洞查看或修改信息。
漏洞验证
暂无PoC/EXP。
修复建议
目前厂商已发布CVE-2020-3127/CVE-2020-3128,CVE-2020-3148的升级补丁以修复漏洞,补丁获取链接:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200304-webex-player
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cpnr-csrf-WWTrDkyL
CVE-2020-3155的升级补丁还未发布,只有缓解措施,详见链接:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-proximity-ssl-cert-gBBu3RB
参考链接
https://tools.cisco.com/security/center/publicationListing.x