Cisco behebt Schwachstellen in Unified MeetingPlace
Ein Angreifer kann das System manipulieren und Zugangsdaten anderer Nutzer ausspähen.
- Daniel Bachfeld
Ciscos Sprach-, Video- und Webkonferenz-Lösung Unified MeetingPlace weist mehrere Schwachstellen auf, mit der sich ein verwundbares System manipulieren lässt. Der Hersteller beschreibt in einem aktuellen Fehlerbericht eine SQL-Injection-Lücke, durch die ein Angreifer Inhalte der Datenbank manipulieren oder ausspähen kann.
Zudem lassen sich mit präparierten URLs laut Bericht neue Nutzerkonten anlegen, ohne dass sich ein Angreifer zuvor am System angemeldet haben muss. Darüber hinaus führen Fehler im Authentifizierungsprotokoll dazu, dass ein Angreifer durch die Manipulation von übertragenen Paketen Nutzernamen und Passwörter ausspähen und sogar an Adminrechte gelangen kann.
Betroffen sind Cisco Unified MeetingPlace Versions 5, 6 und 7, wobei nicht alle Schwachstellen in jeder Version zu finden sind. Updates des Herstellers beheben die Probleme – allerdings nur für registrierte Kunden.
Siehe dazu auch:
(dab)
