Un grupo de especialistas de un diplomado de ciberseguridad ha revelado el hallazgo de una vulnerabilidad en la versión para equipos de escritorio de Cisco Webex Meetings, una de las herramientas de videoconferencia más populares de la actualidad. Acorde al reporte, la explotación exitosa de esta falla permitiría a los actores de amenazas sobrescribir archivos críticos en el sistema objetivo.
A continuación se presenta una breve reseña de la falla reportada, además de su clave de identificación y puntaje según el Common Vulnerability Scoring System (CVSS).
CVE-2020-3440: Esta falla existe debido a una validación insuficiente de los parámetros de URL al administrar enlaces externos dentro de Webex Meetings. Un actor de amenazas remoto puede engañar a un usuario y redirigirlo a un sitio especialmente diseñado, lo que podría permitir a los hackers maliciosos sobrescribir archivos del sistema.
Esta es una vulnerabilidad de severidad media y recibió un puntaje CVSS de 5.7/10.
La falla reside en las siguientes versiones de Cisco Webex Meetings para equipos de escritorio con sistema operativo Windows: 33.6.0, 33.6.4, 33.6.5, 33.6.6, 33.9.1, 39.5.24, 40.4.6, 40.6.
Es importante recordar que la falla podría ser explotada por un actor de amenazas remoto no autenticado, aunque los especialistas del diplomado de ciberseguridad no han detectado intentos de explotación activa o alguna variante de malware relacionada con este ataque. Las actualizaciones ya están disponibles, por lo que los usuarios sólo deben instalar la versión más reciente del software de videoconferencia.