Cisco Unified Videoconferencing存在多个安全漏洞(CNVD-2010-5553)
CVE编号
N/A利用情况
暂无补丁情况
N/A披露时间
2010-11-17漏洞描述
Cisco Unified Videoconferencing(通用视频会议产品)是思科的网络会议解决方案。Cisco通用视频会议产品存在多个漏洞,恶意本地用户可利用这些漏洞泄露敏感信息、获取更高权限、操纵受影响系统、劫持另一用户会话、暗中操纵受影响系统。1、存在多个无法禁用的硬编码帐户。("root"、 "cs" 和 "develop")2、通过"username"参数输入到goform/websXMLAdminRequestCgi.cgi的值在用作命令行参数之前未正确过滤。3、在配置文件/opt/rv/Versions/CurrentVersion/Mcu/Config/Mcu.val中使用了可逆密码散列方法,用以获取管理员密码和操作者账户信息。4、全局可读的影子密码。5、基于时间计数器创建会话ID,用以劫持另一用户会话,例如:使用野蛮攻击从最后的系统引导时间复述所有可能的时间值。6、以Base64编码的cookie或者纯文本存储证书,用以获取设备的权限,例如:窃取网络流或中间人攻击。注意:另外,在FTP、Web和OpenSSH服务器中也存在一些配置问题。解决建议
建议:临时解决方法:如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:* 管理员可以登录到Cisco UVC网站通过禁用FTP、SSH和Telnet服务,将Cisco UVC web GUI的“Security”部分设置为“Maximum”访问受信任主机。厂商补丁:Cisco-----目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.cisco.com/warp/public/707/cisco-sr-20101117-cuvc.shtml
参考链接 |
|
|---|---|
| https://www.cnvd.org.cn/flaw/show/CNVD-2010-5553 |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 N/A
- 用户交互 N/A
- 可用性 完全地
- 保密性 无
- 完整性 无
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论