Cisco Webex Network Recording Player和Webex Player for Windows 缓冲区错误漏洞

CVE编号

CVE-2019-1640

利用情况

暂无

补丁情况

N/A

披露时间

2019-01-24
漏洞描述
Cisco Webex Business Suite WBS32 sites等都是美国思科(Cisco)公司的视频会议解决方案。Cisco Webex Network Recording Player for Windows和Webex Player for Windows都是其中的基于Windwos平台的用于播放视频会议记录的播放器。
基于Windows平台的Cisco Webex Network Recording Player和Webex Player中存在缓冲区错误漏洞,该漏洞源于程序错误地验证了ARF和WRF文件。攻击者可通过链接或邮件附件发送恶意的ARF或WRF文件并诱使用户打开该文件利用该漏洞在受影响系统的上下文中执行任意代码。以下产品受到影响:Cisco Webex Business Suite WBS32 sites;Webex Business Suite WBS33 sites;Webex Meetings Online;Webex Meetings Server。

解决建议
厂商已发布了漏洞修复程序,请及时关注更新:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190123-webex-rce
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 cisco webex_meetings_online 1.3.33 -
运行在以下环境
应用 cisco webex_meetings_online 1.3.39 -
运行在以下环境
应用 cisco webex_meetings_online t32.9 -
运行在以下环境
应用 cisco webex_meetings_online t33.3.5 -
运行在以下环境
应用 cisco webex_meetings_online t33.5.1 -
运行在以下环境
应用 cisco webex_meetings_server 3.0mr2 -
运行在以下环境
应用 cisco webex_meetings_server t31 -
CVSS3评分
7.8
  • 攻击路径
    本地
  • 攻击复杂度
  • 权限要求
  • 影响范围
    未更改
  • 用户交互
    需要
  • 可用性
  • 保密性
  • 完整性
CWE-ID 漏洞类型
CWE-119 内存缓冲区边界内操作的限制不恰当
阿里云安全产品覆盖情况