PT-2020-4959 · Cisco · Cisco Roomos+1
Publicado
2020-11-18
·
Atualizado
2020-11-25
·
CVE-2020-26068
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Software Cisco Telepresence CE (versões afetadas não especificadas)
Software Cisco RoomOS (versões afetadas não especificadas)
Descrição
Uma vulnerabilidade no serviço xAPI pode permitir que um invasor remoto autenticado gere um token de acesso para um dispositivo afetado devido à autorização de acesso insuficiente. Um invasor poderia explorar essa vulnerabilidade usando o serviço xAPI para gerar um token específico, o que poderia permitir que ele ativasse recursos experimentais no dispositivo que não deveriam estar disponíveis para os usuários.
Recomendações
Para o software Cisco Telepresence CE, considere desativar o serviço xAPI até que uma correção esteja disponível para evitar a exploração.
Para o software Cisco RoomOS, restrinja o acesso ao serviço xAPI para minimizar o risco de exploração.
Como solução alternativa temporária, considere desativar quaisquer recursos que dependam do token de acesso gerado até que uma correção esteja disponível.
Correção
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cisco Roomos
Cisco Telepresence Ce