Laburpen exekutiboa
Cisco Webex App aplikazioan identifikatutako kalteberatasunak 8.8 puntu ditu CVSS-nean, hau da, oso larria da. Segurtasun akats hau bilerara gonbidatzeko esteka bat prozesatzean sarrera egiaztapen nahikorik ez egotea dela medio. Autentifikazioik ez duen erasotzaile urrunak kalteberatasuna aprobetxatu dezake erabiltzaile bat esteka manipulatu batean klik egitera bultzatuz, honek fitxategi arbitrarioak deskargatzea eta komandoak exekutatzea ahalbidetuko luke erabiltzaile helburuaren pribilegioekin. Bere CVSS puntuazio altua dela eta, gomendatzen da kalteberatasun hau berehala arintzea posibleko erasoak saihesteko.
Eragindako baliabideak
- Cisco Webex App (Ez da zehaztu bertsioa, arazoa aplikazioa eragiten du sistemaren konfigurazioa edo eragile sistema kontuan hartu gabe)
- Cisco Webex App Release 44.6 (Konpondua 44.6.2.30589 bertsioan)
- Cisco Webex App Release 44.7 (Ez dago konponduko bertsiorik, gomendatzen da konponduko bertsio batera migratzea)
Azterketa teknikoa
- CVE-2025-20236: Cisco Webex App-eko URL pertsonalizatuaren analizatzailean dagoen kalteberatasun bat autentifikazioik ez duen erasotzaile urrun bati aukera emango lioke erabiltzaile bati fitxategi arbitrarioak deskargatzeko, honek erabiltzaile helburuaren hostean komando arbitrarioak exekutatzeko gaitasuna emango lioke. Kalteberatasun hau bilerara gonbidatzeko esteka bat prozesatzean sarrera egiaztapen nahikorik ez egotea dela medio. Erasotzaileak kalteberatasun hau aprobetxatu dezake erabiltzaile bat bilerara gonbidatzeko esteka manipulatu batean klik egitera bultzatuz eta fitxategi arbitrarioak deskargatuz. Eraso arrakastatsua erabiltzaile helburuaren pribilegioekin komando arbitrarioak exekutatzea ahalbidetuko luke.
- CWE-829
- CVSS: 8.8 (handia)
- Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
- Explotazioa: Ez da detektatu
Arintzea/Konponbidea
Cisco-k doako eguneraketak argitaratu ditu, Cisco Webex App-eko kasuan deskribatutako kalteberatasuna konpontzeko. Softwarearen eguneraketa eskubideak dituzten zerbitzu-kontratudun bezeroek segurtasun konponketak ohiko eguneraketa bideez lortu beharko dituzte. Zerbitzu-kontraturik ez dutenek, Cisco TAC-rekin harremanetan jarri beharko dute eguneraketak lortzeko. Bezeroei ohikoak dira Cisco produktuen abisuak kontsultatzea, Cisco Segurtasun Abisuak orrialdean eskuragarri daudenak, exposizioa eta eguneraketa konponbide osoa zehazteko. Gainera, bezeroek ziurtatu beharko dute eguneratuko diren gailuek nahikoa memoria dutela eta egungo hardware eta software konfigurazioak bertsio berriarekin bateragarriak izango direla. Softwarearen bertsioei dagokienez, bezeroei gomendatzen zaie App-eko bertsio finko batera migratzea. Esaterako, 44.6 bertsioa dutenek 44.6.2.30589 bertsiora eguneratu beharko lukete eta 44.7 bertsioa dutenek bertsio finko batera migratu beharko lukete.