CVE-2020-3495 | Cisco Jabber远程代码执行误差通告

宣布时间 2020-09-03

0x00 误差概述

CVE   ID

CVE-2020-3495

   

2020-09-03

   

RCE

   级

高危

远程使用

影响规模

所有适用Windows Cisco Jabber客户端版本12.1至12.9

 

2020年09月02日,Cisco官方修复了一个严重的远程代码执行误差(CVE-2020-3495),该误差CVSS评分为9.9分 。

CVE-2020-3495误差由Watchcom的清静研究职员Olav Sortland Thoresen发明并报告,思科产品清静事务响应团队(PSIRT)体现该误差目今尚未被普遍使用 。

0x01 误差详情

 

图片4.png


 

Cisco Jabber for Windows是一款桌面协作应用程序,主要为用户提供状态、即时新闻(IM)、新闻、桌面共享、视频音频聚会和Web聚会服务 。

CVE-2020-3495是由于邮件内容验证不准确引起的 。攻击者通过使用恶意的可扩展新闻和状态协议(XMPP)新闻来使用此误差,通过身份验证的远程攻击者可以在未打补丁的 Cisco Jabber for Windows 的系统上执行恶意代码 。并且,该误差的使用不需要用户交互,当Jabber for Windows客户端在后台运行时该误差也可被使用 。

但若是要使用此误差,攻击者必需能够向运行Windows的Cisco Jabber的最终用户系统发送XMPP新闻 。若乐成使用此误差,会导致应用程序运行的外地文件路径中被上传恣意执行文件,该可执行文件将会以启动Jabber客户端应用程序的用户的特权在用户系统上运行 。

但仅在phone-only mode模式下使用Jabber并且没有启用XMPP新闻服务时系统不易受到攻击,当Jabber设置为使用除XMPP新闻转达以外的新闻转达服务时,该误差则无法被使用 。

0x02 处置惩罚建议

建议升级到适当的版本:

受影响版本

更新版本

12.1

12.1.3

12.5

12.5.2

12.6

12.6.3

12.7

12.7.2

12.8

12.8.3

12.9

12.9.1

下载地址:

https://software.cisco.com/download/home/284324806/type/284006014/release/12.6(3)

 

0x03 相关新闻

https://www.bleepingcomputer.com/news/security/cisco-fixes-critical-code-execution-bug-in-jabber-for-windows/

https://securityaffairs.co/wordpress/107834/security/cisco-jabber-for-windows-flaw.html

 

0x04 参考链接

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-jabber-UyTKCPGg

0x05 时间线

2020-09-02 Cisco宣布清静通告

2020-09-03 VSRC宣布清静通告



图片5.png