В минувшую среду Cisco Systems пропатчила критическую уязвимость в Cisco Meeting Server (CMS), ключевом компоненте ее сервиса аудио-, веб- и видеокоммуникаций, используемом организациями для проведения многосторонних конференций.

Согласно информационному бюллетеню, уязвимость CVE-2016-6445 крылась в реализации протокола XMPP, позволяющего обмениваться сообщениями и информацией о присутствии. Данная брешь позволяет удаленно и без аутентификации сымитировать законного пользователя: «При успешном эксплойте атакующий сможет войти в систему как еще один пользователь».

Уязвимости подвержены CMS-серверы версий ниже 2.0.6 и Acano Server версий ниже 1.8.18 и 1.9.6. Заплатки доступны на странице загрузок Cisco; разработчик также предлагает альтернативу для «некоторых сред».

Кроме CVE-2016-6445 Cisco закрыла пять уязвимостей умеренной степени опасности, в том числе DoS-брешь в ПО WAAS (Wide Area Application Services), кликджекинг в CUCM (Cisco Unified Communications Manager), возможный из-за отсутствия санации данных, отображаемых в iFrame, а также CSRF в десктопных агенте и супервизоре Cisco Finesse.

Пару недель назад Cisco выпустила патчи для опасных брешей в коммутаторах Nexus 7000 и операционной системе NX-OS.

Категории: Уязвимости