CVE-2024-20395

Nome do software vulnerável e versões afetadas:

Aplicativo Cisco Webex (versões afetadas não especificadas)

Descrição:

Uma vulnerabilidade na funcionalidade de recuperação de mídia poderia permitir que um invasor não autenticado e próximo obtivesse acesso a informações confidenciais da sessão. Esse problema se deve à transmissão insegura de solicitações aos serviços de back-end quando o aplicativo acessa mídia incorporada, como imagens. Um invasor poderia explorar essa vulnerabilidade enviando uma mensagem com mídia incorporada armazenada em um servidor de mensagens para um usuário alvo. Se o invasor puder observar o tráfego transmitido em uma posição privilegiada na rede, uma exploração bem-sucedida poderia permitir que ele capturasse informações do token de sessão a partir de solicitações transmitidas de forma insegura e, possivelmente, reutilizasse as informações de sessão capturadas para realizar outras ações na identidade do usuário alvo.

Recomendações:

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.