CVE-2021-34743

Software Cisco Webex (versões afetadas não especificadas)

Uma vulnerabilidade no recurso de integração de aplicativos do Cisco Webex Software poderia permitir que um invasor remoto não autenticado autorizasse um aplicativo externo a se integrar e acessar a conta de um usuário sem o consentimento expresso desse usuário. Essa vulnerabilidade se deve à validação inadequada de tokens de falsificação de solicitação entre sites (CSRF). Um invasor poderia explorar essa vulnerabilidade convencendo um usuário alvo, que esteja atualmente autenticado no Cisco Webex Software, a seguir um link projetado para passar entradas maliciosas para a interface de autorização de aplicativos do Cisco Webex Software. Uma exploração bem-sucedida poderia permitir que o invasor fizesse com que o Cisco Webex Software autorizasse um aplicativo em nome do usuário sem o consentimento expresso deste, possivelmente permitindo que aplicativos externos lessem dados do perfil desse usuário.

Como solução alternativa temporária, considere desativar o recurso de integração de aplicativos até que uma correção esteja disponível.

Restrinja o acesso à interface de autorização de aplicativos para minimizar o risco de exploração.

Evite usar o recurso de integração de aplicativos no Cisco Webex Software afetado até que o problema seja resolvido.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.