Cisco telah memperingatkan adanya tiga kerentanan tingkat tinggi dalam aplikasi konferensi web Webex yang populer, termasuk yang memungkinkan penyerang tidak tervalidasi untuk mengeksekusi kode dari jarak jauh pada sistem yang terkena dampak. Berikut daftarnya:
Kerentanan 1 (CVE-2020-3342): Validasi yang tidak tepat atas perlindungan kriptografi, pada file yang diunduh oleh aplikasi sebagai bagian dari pembaruan perangkat lunak. Eksploitasi yang berhasil dapat memungkinkan penyerang untuk mengeksekusi kode apa pun (arbitrary code execution) pada sistem yang terpengaruh dengan hak istimewa pengguna.
Nilai CVSS: 8.8
Versi yang terpengaruh: Aplikasi Desktop Webex untuk Mac versi sebelum 39.5.11. Versi aplikasi untuk Windows tidak terpengaruh.
Perbaikan: Kerentanan telah diperbaiki pada versi 39.5.11 dan yang lebih baru.
Kerentanan 2 (CVE-2020-3361): Kerentanan berasal dari penanganan token otentikasi yang tidak benar oleh situs Webex yang rentan. Eksploitasi yang berhasil dapat memungkinkan penyerang jarak jauh untuk mendapatkan akses tidak sah ke situs Webex yang rentan.
Nilai CVSS: 8.1
Versi yang terpengaruh: Situs Cisco Webex Meetings (versi 39.5.25 dan sebelumnya, WBS 40.4.10 dan sebelumnya, atau WBS 40.6.0) dan server Cisco Webex Meetings (versi 4.0 MR3 dan sebelumnya)
Perbaikan: Server Cisco Webex Meetings Release 4.0 MR3 Security Patch 1; Perusahaan mengatakan pelanggan di situs Cisco Webex Meetings yang dihosting Cisco tidak perlu mengambil tindakan apa pun untuk menerima pembaruan ini.
Kerentanan 3 (CVE-2020-3263): Kerentanan ini disebabkan oleh validasi input yang tidak benar yang diberikan ke URL aplikasi, ini dapat memungkinkan penyerang jarak jauh untuk menjalankan program pada sistem pengguna yang terpengaruh.
Nilai CVSS: 7.5
Versi yang terpengaruh: Aplikasi Desktop Cisco Webex Meetings (versi lebih lama dari 39.5.12)
Perbaikan: Perbaikan telah tersedia pada versi 40.1.0 dan yang lebih baru.
Di luar Webex, raksasa jaringan itu pada hari Rabu juga menambal (patch) banyak bug di beberapa produk, termasuk router RV (yang menawarkan teknologi jaringan pribadi virtual untuk pekerja jarak jauh di bisnis kecil) dan perangkat lunak TelePresence Collaboration Endpoint.
Untuk mengetahui kerentanan-kerentanan tersebut, buka tautan di bawah ini;
Source: The Threat Post | Cisco’s Security Update
