鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静通告

【误差通告】 Cisco Jabber12月多个清静误差

宣布时间 2020-12-11

0x00 误差概述

产品名称	CVE ID	类型	误差品级	远程使用
Cisco Jabber	CVE-2020-26085	RCE	严重	是
	CVE-2020-27127	未授权会见	中危	是
	CVE-2020-27132	信息泄露	中危	是
	CVE-2020-27133	下令注入	高危	是
	CVE-2020-27134	剧本注入	高危	是

0x01 误差详情

Cisco Jabber是一个即时新闻和web聚会桌面应用程序，，，，，，它使用可扩展新闻和状态协议（XMPP）在用户之间转达新闻。。。。。。。该应用程序基于Chromium Embedded Framework（CEF）构建，，，，，，其UI使用HTML、CSS和JavaScript等web手艺。。。。。。。

2020年12月10日，，，，，，Cisco宣布清静通告，，，，，，Jabber中保存多个清静误差（CVE-2020-26085、CVE-2020-27127、CVE-2020-27132、CVE-2020-27133和CVE-2020-27134）。。。。。。。这些误差并不相互依赖，，，，，，攻击者能够使用它们在系统上执行恣意代码，，，，，，或窃取敏感信息。。。。。。。

要使用CVE-2020-26085和CVE-2020-27134这两个新闻处置惩罚误差，，，，，，攻击者需要会见统一XMPP域或使用其它要领向Cisco Jabber客户端发送可扩展新闻和状态协议（XMPP）新闻。。。。。。。处于phone-only模式下且未启用XMPP新闻效劳的Cisco Jabber禁止易受到攻击。。。。。。。别的，，，，，，若是将Cisco Jabber设置为使用XMPP新闻转达以外的其它新闻转达效劳，，，，，，则误差无法使用。。。。。。。

误差详情如下：

Cisco Jabber新闻处置惩罚中的恣意代码执行误差（CVE-2020-26085）

该误差是邮件内容验证不准确导致的，，，，，，其CVSS评分9.9。。。。。。。攻击者可以通过向受影响的Jabber客户端发送恶意的XMPP新闻来使用此误差。。。。。。。乐成使用此误差的攻击者能够以运行Cisco Jabber客户端的账户权限在目的系统上执行恣意代码。。。。。。。

影响规模：

Windows 版Cisco Jabber

MacOS版Cisco Jabber

Cisco Jabber for Windows自界说协议处置惩罚程序未授权会见误差（CVE-2020-27127）

该误差是对Jabber协议处置惩罚程序的输入处置惩罚不当导致的，，，，，，其CVSS评分4.3。。。。。。。攻击者可以通过指导目的用户单击电子邮件或其它新闻转达平台发送的新闻中的链接来使用此误差。。。。。。。乐成使用此误差的攻击者可以向Cisco Jabber客户端发送恣意下令，，，，，，从而可能使攻击者修改应用程序设置。。。。。。。

影响规模：

Windows 版Cisco Jabber

Cisco Jabber信息泄露误差（VE-2020-27132）

该误差是邮件内容验证不准确导致的，，，，，，其CVSS评分6.5。。。。。。。攻击者可以通过向目的系统发送恶意新闻来使用此误差。。。。。。。乐成使用此误差的攻击者可以使Jabber将身份验证等敏感信息返回给另一个系统，，，，，，以便于进一步攻击。。。。。。。

影响规模：

Windows 版Cisco Jabber

MacOS版Cisco Jabber

Cisco Jabber for Windows自界说协议处置惩罚程序下令注入误差（CVE-2020-27133）

该误差是对Jabber协议处置惩罚程序的输入处置惩罚不当导致的，，，，，，其CVSS评分8.8。。。。。。。攻击者可以通过指导目的用户单击电子邮件或其它新闻转达平台发送的新闻中的链接来使用此误差。。。。。。。乐成使用此误差的攻击者能够以运行Cisco Jabber客户端的账户权限在目的系统上执行恣意下令。。。。。。。

影响规模：

Windows 版Cisco Jabber

Cisco Jabber新闻处置惩罚剧本注入误差（CVE-2020-27134）

该误差是邮件内容验证不准确导致的，，，，，，其CVSS评分8.0。。。。。。。攻击者可以通过向受影响的Jabber客户端发送恶意的XMPP新闻来使用此误差。。。。。。。通过指导目的用户举行新闻交互，，，，，，攻击者可以在Jabber新闻窗口界面内注入恣意剧本代码。。。。。。。乐成使用此误差的攻击者能够以运行Cisco Jabber客户端的账户权限在MacOS或Windows目的系统上执行恣意代码。。。。。。。在移动平台上乐成使用此误差的攻击者可以运行脚原来修改应用程序界面或从Jabber应用程序获取敏感信息。。。。。。。

影响规模：

Windows 版Cisco Jabber

MacOS版Cisco Jabber

mobile platforms版Cisco Jabber

0x02 处置惩罚建议

现在Cisco已经修复了相关误差，，，，，，建议参考下表实时更新。。。。。。。

Windows版Cisco Jabber	受影响版本	修复版本
	12.1之前版本	迁徙到牢靠版本
	12.1	12.1.4
	12.5	12.5.3
	12.6	12.6.4
	12.7	12.7.3
	12.8	12.8.4
	12.9	12.9.3
MacOS版Cisco Jabber	12.7及之前版本	迁徙到牢靠版本
	12.8	12.8.5
	12.9	12.9.4
Android和iOS版Cisco Jabber	12.8及之前版本	迁徙到牢靠版本
Android和iOS版Cisco Jabber	12.9	12.9.4

下载链接：

https://software.cisco.com/download/find

0x03 参考链接

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-jabber-ZktzjpgO

https://threatpost.com/critical-cisco-jabber-bug-get-updated-fix/162143/

https://securityaffairs.co/wordpress/112163/hacking/cisco-jabber-rce.html?

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26085

0x04 时间线

2020-12-10 Cisco宣布误差通告

2020-12-11 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】