DFN-CERT-2016-1146 Cisco WebEx Meetings Server: Eine Schwachstelle ermöglicht einen Cross-Site-Request-Forgery-Angriff [Netzwerk]

DFN-CERT portal at dfn-cert.de
Mon Jul 18 10:30:03 CEST 2016


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

  Cisco WebEx Meetings Server 2.7
  

Betroffene Plattformen:

  Cisco WebEx Meetings Server
  


Eine Schwachstelle im Cisco WebEx Meetings Server ermöglicht einem
entfernten, nicht authentifizierten Angreifer die Durchführung eines
Cross-Site-Request-Forgery-Angriffs.

Cisco bestätigt die Schwachstelle für die Software-Version 2.7 und stellt
Sicherheitsupdates bereit.


Patch:

  Cisco Security Advisory cisco-sa-20160714-wms2 (Cisco-Alert-CVE-2016-1448)

  <http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160714-wms2>


CVE-2016-1448: Schwachstelle in Cisco WebEx Meetings Server ermöglicht
  Cross-Site-Request-Forgery-Angriff

  Es existiert eine Schwachstelle im Webinterface des Cisco WebEx Meetings
  Servers, aufgrund des unzureichenden Schutzes vor
  Cross-Site-Request-Forgery-Angriffen. Dies ermöglicht einem Angreifer
  beliebige Anfragen mit den Rechten des Benutzers an ein betroffenes System
  zu senden, wenn es ihm gelingt den Benutzer dazu zu verleiten, einen
  bösartigen Link anzuklicken oder eine durch den Angreifer kontrollierte
  Webseite zu besuchen.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2016-1146/>

Cisco Security Advisory cisco-sa-20160714-wms2 (Cisco-Alert-CVE-2016-1448):
  <http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160714-wms2>

Schwachstelle CVE-2016-1448 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1448>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 4686 bytes
Desc: not available
URL: <https://lists.cert.uni-stuttgart.de/pipermail/security-announce/attachments/20160718/cb7864d5/attachment.bin>


More information about the Security-Announce mailing list