Cisco Jabber是一款统一通信客户端解决方案,支持Mac、Windows桌面平台以及iPad、iPhone和Android移动平台。该产品集成了即时消息、语音和视频通话、语音邮件、桌面共享、会议和在线状态等多种功能,旨在提高沟通效率。
3月24日,Cisco发布了安全公告,指出Cisco Jabber存在高危的任意程序执行漏洞,建议用户尽快进行升级。以下是漏洞的详细信息:
漏洞详情
1. CVE-2021-1411
CVSS评分:9.9
严重程度:高
在Windows版本的Cisco Jabber中,漏洞可能允许经过身份验证的远程攻击者在目标系统上执行任意程序。该漏洞源于邮件内容验证的不当,攻击者可以通过发送特制的XMPP消息来利用此漏洞,成功利用后可能导致在受影响用户的帐户权限下执行任意代码。
2. CVE-2021-1469
CVSS评分:7.2
严重程度:高
类似于上述漏洞,Windows版Cisco Jabber中的此漏洞也可能允许经过身份验证的远程攻击者执行任意程序。该漏洞同样因邮件内容验证不当而产生,具有特别配置的XMPP服务器帐户的攻击者可以利用此漏洞。
3. CVE-2021-1417
CVSS评分:6.5
严重程度:中
此漏洞可能允许经过身份验证的远程攻击者访问敏感信息,源于邮件内容验证不当。攻击者可通过发送特制的XMPP消息来利用该漏洞,成功利用后可能导致敏感的身份验证信息被泄露。
4. CVE-2021-1471
CVSS评分:5.6
严重程度:中
该漏洞可能允许未经身份验证的远程攻击者拦截受保护的网络流量,问题出在证书验证的不当。攻击者可通过特权网络位置拦截网络请求并使用恶意证书进行利用。
5. CVE-2021-1418
CVSS评分:4.3
严重程度:中
在多个平台的Cisco Jabber中,该漏洞可能允许经过身份验证的远程攻击者引发DoS条件,源于邮件内容验证不当。
受影响产品
这些漏洞影响Windows、MacOS以及移动平台(iOS和Android)的Cisco Jabber。
解决方案
适用于Windows的Cisco Jabber:
- 12.1之前版本需升级至可修复版本
- 12.1版本升级至12.1.5
- 12.5版本升级至12.5.4
- 12.6版本升级至12.6.5
- 12.7版本升级至12.7.4
- 12.8版本升级至12.8.5
- 12.9版本升级至12.9.5
适用于MacOS的Cisco Jabber:
- 12.7及更早版本需升级至可修复版本
- 12.8版本升级至12.8.7
- 12.9版本升级至12.9.6
适用于Android和iOS的Cisco Jabber:
- 12.9及更早版本需升级至修复版本
- 12.9~14.0版本升级至14.0
欲了解更多漏洞信息及升级方案,请访问官网:
https://Tools.cisco.coM/security/centeR/publicationlisting.x
