思科发布多个高危漏洞风险通告

发布时间 2020-03-06

漏洞编号和级别


CVE编号:CVE-2020-3127,危险级别:高危,CVSS分值:厂商自评:7.8,官方未评定

CVE编号:CVE-2020-3128,危险级别:高危,CVSS分值:厂商自评:7.8,官方未评定

CVE编号:CVE-2020-3148,危险级别:高危,CVSS分值:厂商自评:7.1,官方未评定

CVE编号:CVE-2020-3155,危险级别:高危,CVSS分值:厂商自评:7.4,官方未评定


影响版本


CVE编号

影响产品

CVE-2020-3127

CVE-2020-3128

Cisco Webex   Meetings — All Webex Network Recording Player and Webex Player releases   earlier than Release WBS 39.5.17 or WBS 39.11.0

Cisco Webex   Meetings Online — All Webex Network Recording Player and Webex Player   releases earlier than Release 1.3.49

Cisco Webex   Meetings Server — All Webex Network Recording Player releases earlier than   Release 3.0MR3SecurityPatch1 and 4.0MR2SecurityPatch2

CVE-2020-3148

Cisco Prime   Network Registrar releases earlier than 10.1

CVE-2020-3155

Cisco Intelligent   Proximity application

Cisco Jabber

Cisco Webex   Meetings

Cisco Webex Teams

Cisco Meeting App


漏洞概述


3月4日思科发布了产品安全更新,修复多个漏洞,包括4个高危漏洞,概述如下:


CVE-2020-3127/CVE-2020-3128

Cisco Webex Network Recording Player是美国思科(Cisco)企业的一款用于播放视频会议记录的播放器。


基于Windows平台的Cisco Webex Network Recording Player和Cisco Webex Player中存在输入验证错误漏洞,该漏洞源于程序没有充分验证ARF或WRF格式下的Webex记录信息。攻击者可通过发送恶意的ARF或WRF文件利用该漏洞以目标用户权限在系统上实行任意代码。


CVE-2020-3148

Cisco Prime Network Registrar(CPNR)是美国思科(Cisco)企业的一款网络注册器产品。该产品提供了动态主机配置协议(DHCP)、域名系统(DNS)和IP地址管理(IPAM)等服务。


Cisco CPNR 10.1之前版本(releases)中基于Web的接口存在跨站请求伪造漏洞,该漏洞源于程序没有进行充分的跨站请求伪造保护。远程攻击者可通过诱使用户点击恶意链接利用该漏洞修改设备配置,进而可以编辑或创建任意权限用户的账户。


CVE-2020-3155

Cisco Intelligent Proximity solution中的SSL实现存在信任管理问题漏洞,该漏洞源于缺少对SSL服务器证书的验证。远程攻击者可通过使用中间人技术,拦截受影响客户端和端点之间的流量并使用伪造的证书来冒充端点利用该漏洞查看或修改信息。


漏洞验证


暂无PoC/EXP。


修复建议


目前厂商已发布CVE-2020-3127/CVE-2020-3128,CVE-2020-3148的升级补丁以修复漏洞,补丁获取链接:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200304-webex-player

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cpnr-csrf-WWTrDkyL


CVE-2020-3155的升级补丁还未发布,只有缓解措施,详见链接:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-proximity-ssl-cert-gBBu3RB


参考链接


https://tools.cisco.com/security/center/publicationListing.x