Cisco WebEx Meetings Server 2.5.0.4 ClientUpgrade Servlet erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.6 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine kritische Schwachstelle in Cisco WebEx Meetings Server 2.5.0.4 entdeckt. Es betrifft eine unbekannte Funktion der Komponente ClientUpgrade Servlet. Die Veränderung resultiert in erweiterte Rechte. Diese Schwachstelle wird als CVE-2014-3395 gehandelt. Es ist kein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.
Details
Eine Schwachstelle wurde in Cisco WebEx Meetings Server 2.5.0.4 (Unified Communication Software) ausgemacht. Sie wurde als kritisch eingestuft. Davon betroffen ist unbekannter Code der Komponente ClientUpgrade Servlet. Durch Beeinflussen mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-20. Die Auswirkungen sind bekannt für die Vertraulichkeit. Die Zusammenfassung von CVE lautet:
Cisco WebEx Meetings Server (WMS) 2.5 allows remote attackers to trigger the download of arbitrary files via a crafted URL, aka Bug ID CSCup10343.Die Schwachstelle wurde am 29.09.2014 von Cisco als CSCup10343 in Form eines bestätigten Security Notices (Website) herausgegeben. Das Advisory findet sich auf tools.cisco.com. Die Verwundbarkeit wird seit dem 07.05.2014 mit der eindeutigen Identifikation CVE-2014-3395 gehandelt. Das Ausnutzen gilt als leicht. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden.
Ein Aktualisieren vermag dieses Problem zu lösen. Eine neue Version kann von software.cisco.com bezogen werden.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (96697), SecurityFocus (BID 70181†) und SecurityTracker (ID 1030940†) dokumentiert. Unter tools.cisco.com werden zusätzliche Informationen bereitgestellt. If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Betroffen
- Cisco WebEx Meetings Server 1.5.1.411/2.0.1.40023
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.cisco.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.3VulDB Meta Temp Score: 4.6
VulDB Base Score: 5.3
VulDB Temp Score: 4.6
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-20
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Unbewiesen
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: software.cisco.com
Timeline
07.05.2014 🔍29.09.2014 🔍
29.09.2014 🔍
30.09.2014 🔍
01.10.2014 🔍
01.10.2014 🔍
05.07.2017 🔍
Quellen
Hersteller: cisco.comAdvisory: CSCup10343
Firma: Cisco
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2014-3395 (🔍)
GCVE (CVE): GCVE-0-2014-3395
GCVE (VulDB): GCVE-100-67715
X-Force: 96697 - Cisco WebEx Meetings Server URL information disclosure, Medium Risk
SecurityFocus: 70181 - Cisco WebEx Meetings Server CVE-2014-3395 Arbitrary File Download Vulnerabilitiy
SecurityTracker: 1030940 - Cisco WebEx Meetings Server Input Validation Flaw Lets Remote Users Download Files
Diverses: 🔍
Eintrag
Erstellt: 01.10.2014 10:57Aktualisierung: 05.07.2017 08:59
Anpassungen: 01.10.2014 10:57 (63), 05.07.2017 08:59 (6)
Komplett: 🔍
Cache ID: 216:21F:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.