检测

Cisco Unified MeetingPlace 多种会话漏洞

high Nessus 插件 ID 70078

语言:

简介

远程 Web 服务器正在运行包含多种会话漏洞的会议应用程序。

描述

根据其自我报告的版本号,远程 Web 服务器上托管的 Cisco Unified MeetingPlace 安装可能受到多种会话漏洞的影响:

- 该应用程序在发生注销操作时无法使会话失效,这样使远程攻击者更容易通过利用对会话 cookie 的了解来劫持会话。(CVE-2013-1168)

- 使用了“Remember Me”选项时,该应用程序无法正确验证 cookie,这样可能允许未经认证的远程攻击者通过构建的登录请求来冒充用户。(CVE-2013-1169)

请注意,Nessus 并未测试这些问题,而是只依赖于应用程序自我报告的版本号。此外,Nessus 收集的版本信息的粗糙性不足以确认应用程序是否存在漏洞,只能确认其可能受到影响。

解决方案

升级到 7.1MR1 Patch 2 / 8.0MR1 Patch 2 / 8.5MR3 Patch 1 或更高版本。

另见

http://www.nessus.org/u?bec0e8b8

插件详情

严重性: High

ID: 70078

文件名: cisco-sa-20130410-mp.nasl

版本: 1.10

类型: remote

系列: CISCO

发布时间: 2013/9/23

最近更新时间: 2020/6/12

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: High

基本分数: 9.3

时间分数: 6.9

矢量: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

漏洞信息

CPE: cpe:/a:cisco:unified_meetingplace

必需的 KB 项: installed_sw/Cisco Unified MeetingPlace

易利用性: No known exploits are available

补丁发布日期: 2013/4/10

漏洞发布日期: 2013/4/10

参考资料信息

CVE: CVE-2013-1168, CVE-2013-1169

BID: 59006, 59014