Cisco TelePresence VCS Expressway Series 8.5.2 多种漏洞

medium Nessus 插件 ID 85651

简介

远程主机受到多个漏洞影响。

描述

根据其自我报告的版本号,远程主机上运行的 Cisco TelePresence Video Communication Server (VCS) Expressway 实例受到多种漏洞的影响:

- 由于未充分验证用户提供的输入,Web 框架组件中存在一个命令注入漏洞。经过身份验证的远程攻击者可利用此漏洞,通过特别构建的请求注入以“nobody”用户权限级别执行的任意命令。(CVE-2015-4303)

- 由于未正确验证用于注册的电话线路,Mobile and Remote Access (MRA) 端点验证功能中存在一个访问漏洞。经过认证的远程攻击者可利用此漏洞,通过构建的会话初始协议 (SIP) 消息注册电话和冒充合法用户。
(CVE-2015-4316)

- 由于未充分处理畸形认证消息,存在一个拒绝服务漏洞。未经身份验证的远程攻击者可利用此漏洞,通过使用无效变量构建的身份验证数据包造成拒绝服务情况。(CVE-2015-4317)

- 由于未充分处理畸形 GET 请求消息,存在一个拒绝服务漏洞。
未经身份验证的远程攻击者可利用此漏洞,通过使用无效变量构建的数据包造成拒绝服务情况。(CVE-2015-4318)

- 由于在授权过程中未充分实施,密码更改功能中存在一个安全绕过漏洞。经过认证的远程攻击者可利用此漏洞,通过特别构建的数据包重置任意活动用户密码。
(CVE-2015-4319)

- 由于某些日志文件中包含敏感信息,Configuration Log File 组件中存在一个信息泄露漏洞。经过认证的远程攻击者可利用此漏洞查看日志文件中的敏感信息。
(CVE-2015-4320)

解决方案

升级到 Cisco 缺陷 ID CSCuv12333、CSCuv12338 和 CSCuv12340 中提及的相关修正版本。对于 Cisco 缺陷 ID CSCuv40396、CSCuv40469 和 CSCuv40528,请联系供应商获取补丁。

另见

https://tools.cisco.com/bugsearch/bug/CSCuv12333

https://tools.cisco.com/bugsearch/bug/CSCuv12338

https://tools.cisco.com/bugsearch/bug/CSCuv12340

https://tools.cisco.com/bugsearch/bug/CSCuv40396

https://tools.cisco.com/bugsearch/bug/CSCuv40469

https://tools.cisco.com/bugsearch/bug/CSCuv40528

https://tools.cisco.com/security/center/viewAlert.x?alertId=40433

https://tools.cisco.com/security/center/viewAlert.x?alertId=40441

https://tools.cisco.com/security/center/viewAlert.x?alertId=40442

https://tools.cisco.com/security/center/viewAlert.x?alertId=40443

https://tools.cisco.com/security/center/viewAlert.x?alertId=40444

https://tools.cisco.com/security/center/viewAlert.x?alertId=40445

插件详情

严重性: Medium

ID: 85651

文件名: cisco_telepresence_vcs_multiple_852.nasl

版本: 1.6

类型: remote

系列: CISCO

发布时间: 2015/8/26

最近更新时间: 2022/4/11

配置: 启用全面检查

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Medium

基本分数: 6.5

时间分数: 4.8

矢量: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P

CVSS 分数来源: CVE-2015-4303

CVSS v3

风险因素: Medium

基本分数: 6.3

矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

漏洞信息

CPE: cpe:/h:cisco:telepresence_video_communication_server, cpe:/a:cisco:telepresence_video_communication_server, cpe:/a:cisco:telepresence_video_communication_server_software

必需的 KB 项: Cisco/TelePresence_VCS/Version

易利用性: No known exploits are available

补丁发布日期: 2015/8/14

漏洞发布日期: 2015/8/12

参考资料信息

CVE: CVE-2015-4303, CVE-2015-4316, CVE-2015-4317, CVE-2015-4318, CVE-2015-4319, CVE-2015-4320

BID: 76322, 76347, 76350, 76351, 76353, 76366