PT-2020-1388 · Cisco · Cisco Roomos+2
Publicado
2020-01-22
·
Atualizado
2020-10-05
·
CVE-2020-3143
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Software Cisco TelePresence Collaboration Endpoint (CE) (versões afetadas não especificadas)
Software Cisco TelePresence Codec (TC) (versões afetadas não especificadas)
Software Cisco RoomOS (versões afetadas não especificadas)
Descrição
Uma vulnerabilidade na API do terminal de vídeo (xAPI) poderia permitir que um invasor remoto autenticado realizasse ataques de traversal de diretório em um dispositivo afetado. O problema se deve à validação insuficiente das entradas fornecidas pelo usuário à xAPI. Um invasor poderia explorar essa vulnerabilidade enviando uma solicitação maliciosa à xAPI, o que poderia permitir que ele lesse e gravasse arquivos arbitrários no sistema. Para explorar essa vulnerabilidade, o invasor precisaria de uma conta de controle na sala ou de administrador.
Recomendações
Para o software Cisco TelePresence Collaboration Endpoint (CE), atualize para uma versão que inclua a correção para este problema.
Para o software Cisco TelePresence Codec (TC), atualize para uma versão que inclua a correção para este problema.
Para o software Cisco RoomOS, atualize para uma versão que inclua a correção para este problema.
Como solução alternativa temporária, considere restringir o acesso ao xAPI para minimizar o risco de exploração.
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cisco Roomos
Cisco Telepresence Codec (Tc)
Cisco Telepresence Collaboration Endpoint (Ce)