Cisco komt met patches voor WebEx en IOS

Cisco heeft nieuwe beveiligingsupdates uitgebracht voor zijn networking en unified communications toepassingen. Een belanrijke patch is de CVE-2019-16009. Het betreft een een cross-site aanvraagvervalsing in de web UI van Cisco IOS en Cisco IOS XE die kan worden uitgebuit om inloggegevens van gebruikers te stelen via kwaadaardige links.

CVE-2019-16005 is volgens The Register een kwetsbaarheid rond het invoeren van in WebEx Video Mesh. In dat geval moet een aanvaller al over beheerdersrechten in WebEx beschikken, maar dan de interface van de app kunnen gebruiken om opdrachten naar de hostcomputer te verzenden. CVE-2019-16003 is een bug bij Cisco UCS waarmee een niet-geverifieerde gebruiker logbestanden via de webinterface kan bekijken vanwege een logische fout in de authenticatie.

CVE-2019-15255 beschrijft een beveiligingslekfout in de Cisco Identity Services Engine. De bug kan worden misbruikt door middel van een speciaal vervaardigde URL.

Voor gebruikers van de AnyConnect service is er CVE-2019-16007. Het betreft een fout in de Android mobille client waardoor een aanvaller een gebruikerssessie kan kapen. CVE-2019-16025 is een kwetsbaarheid in de Cisco Emergency Responder suite die mogelijk cross-site scripting mogelijk maakt.