![[Sitic]](http://www.sitic.se/headerimages/siticlogo.png)
SR10-021 Cisco Unified Meeting Place - Ett flertal allvarliga sårbarheter har upptäckts
Ett flertal allvarliga sårbarheter har upptäckts i Cisco Unified Meeting Place. För samtliga sårbarheter finns en "hotfix" tillgänglig från leverantören.
Publicerad: 2010-01-28 12:30
Problembeskrivning
CVE-referens: CVE-2010-0139 CVE-2010-0140 CVE-2010-0141 CVE-2010-0142
Ett flertal allvarliga sårbarheter har upptäckts i Cisco Unified Meeting Place. Sårbarheterna är
- Otillräcklig validering av SQL-kommandon
- Ej priviligerade användare kan skapa konton
- Användar- och lösenordsuppgifter kan listas i Cisco Meeting Time
- Eskalering av rättigheter möjlig i Cisco Meeting Time
Otillräcklig validering av SQL-kommandon:
Ej validerade SQL-kommandon kan användas för att skapa, radera eller ändra information i Meeting Place databasen.
Ej priviligerade användare kan skapa konton
Ej priviligerade användare kan genom att skicka specialkonstruerade URL:er skapa Meeting Place användare eller administrationskonton.
Användar- och lösenordsuppgifter kan listas i Cisco Meeting Time
Genom att ändra autenticieringssekvensen kan en angripare lista känslig information som användarnamn och lösenord i Cisco Meeting Time.
Eskalering av rättigheter möjlig i Cisco Meeting Time
Genom att skicka specialkonstruerade paket i autenticieringssekvensen för Cisco Meeting Time kan en angripare eskalera rättigheter upp till administratörsnivå.
Påverkade versioner
-
Cisco Unified MeetingPlace
-
Cisco Unified MeetingPlace 5
-
Cisco Unified MeetingPlace 6
-
Cisco Unified MeetingPlace 7
-
Cisco Unified MeetingPlace Web Conference 4.3.0.246
-
Cisco Unified MeetingPlace Web Conference 4.3.0.246.5
-
Cisco Unified MeetingPlace Web Conference 5.3.104.0
-
Cisco Unified MeetingPlace Web Conference 5.3.104.3
-
Cisco Unified MeetingPlace Web Conference 5.3.333.0
-
Cisco Unified MeetingPlace Web Conference 5.3.447
-
Cisco Unified MeetingPlace Web Conference 5.3.447.4
-
Cisco Unified MeetingPlace Web Conference 5.4.156 2E
-
Cisco Unified MeetingPlace Web Conference 5.4.70.0
-
Cisco Unified MeetingPlace Web Conference 6.0.170.0
-
Cisco Unified MeetingPlace Web Conference 6.0.244 1A
-
Cisco Unified MeetingPlace Web Conferencing 6.0
-
Cisco Unified MeetingPlace Web Conferencing 6.0.517 0
-
Cisco Unified MeetingPlace Web Conferencing 7.0
-
Cisco Unified MeetingPlace Web Conferencing 7.0.2
