Resumen ejecutivo
La vulnerabilidad identificada en la aplicación Cisco Webex App tiene una puntuación CVSS de 8.8, lo que la clasifica como de alta gravedad. Este fallo en la seguridad se debe a una validación de entrada insuficiente al procesar un enlace de invitación a una reunión. Un atacante remoto sin autenticación podría explotar esta vulnerabilidad persuadiendo a un usuario a hacer clic en un enlace manipulado, lo que permitiría la descarga de archivos arbitrarios y la ejecución de comandos con los privilegios del usuario objetivo. Dada su alta puntuación CVSS, se recomienda mitigar esta vulnerabilidad de forma urgente para prevenir su posible explotación.
Recursos afectados
- Cisco Webex App (sin versión especificada; el problema afecta la aplicación independientemente de la configuración del sistema o del sistema operativo)
- Cisco Webex App Release 44.6 (corregido en la versión 44.6.2.30589)
- Cisco Webex App Release 44.7 (sin versión corregida; se aconseja migrar a una versión que lo esté)
Análisis técnico
- CVE-2025-20236: Una vulnerabilidad en el analizador de URL personalizado de Cisco Webex App podría permitir que un atacante remoto no autenticado convenza a un usuario para que descargue archivos arbitrarios, lo que podría otorgarle la capacidad de ejecutar comandos arbitrarios en el host del usuario objetivo. Esta vulnerabilidad se debe a una validación de entrada insuficiente cuando Cisco Webex App procesa un enlace de invitación a una reunión. Un atacante podría aprovechar esta vulnerabilidad convenciendo a un usuario para que haga clic en un enlace de invitación a una reunión manipulado y descargue archivos arbitrarios. Una explotación exitosa podría permitirle ejecutar comandos arbitrarios con los privilegios del usuario objetivo.
- CWE-829
- CVSS: 8.8 (alta)
- Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
- Explotación: No detectada
Mitigación / Solución
Cisco ha lanzado actualizaciones gratuitas que solucionan la vulnerabilidad descrita en el caso de la App Cisco Webex. Los clientes con contratos de servicio con derecho a actualizaciones de software regulares, deben obtener los fixes de seguridad a través de sus canales de actualización habituales. En el caso que no tengan un contrato de servicio, estos pueden obtener las actualizaciones poniéndose en contacto con el Cisco TAC. Se aconseja regularmente a los clientes que consulten los avisos para los productos de Cisco, que están disponibles en la página de Avisos de Seguridad de Cisco, para determinar la exposición y una solución de actualización completa. Además, los clientes deben asegurarse de que los dispositivos a actualizar contengan memoria suficiente y confirmar que las configuraciones actuales de hardware y software seguirán siendo compatibles con la nueva versión. En cuanto a las versiones del software, se recomienda a los clientes que migren a una versión fija de la App. Por ejemplo, los que tengan la versión 44.6 deben actualizar a la 44.6.2.30589 y los que tengan la versión 44.7 deben migrar a una versión fija.