Una vulnerabilidad encontrada por el investigador de seguridad de Trustwave SpiderLabs, Martin Rakhmanov, en el cliente Cisco Webex Meetings de Windows puede permitir a atacantes autenticados localmente ganar acceso a información sensible incluyendo nombres de usuario, tokens de autenticación e información de la reunion.

La vulnerabilidad está catalogada como CVE-2020-3347 y afecta a versiones anteriores a la 40.6.0, causada por hacer un uso inseguro de la memoria compartida con el sistema, en trace files no sercurizados correctamente.

De momento, no hay workarounds para solucionar esta vulnerabilidad de forma temporal y por eso Cisco parcheo este CVE en la versión 40.6.0 y posteriores.

Se recomienda como siempre, actualizar y mantener al día todas las aplicaciones del sistema y el propio sistema operativo, y tener una solución antimalware al dia.

Además, ayer Cisco abordó dos fallas de seguridad adicionales de alta gravedad que afectan a la aplicación de escritorio Cisco Webex Meetings para Windows y macOS que podrían permitir a los atacantes no privilegiados ejecutar códigos y programas arbitrarios en dispositivos sin parches.

En febrero de 2019, Cisco también corrigió un error de escalamiento de privilegios que se encuentra en el servicio de actualización de la aplicación de escritorio Cisco Webex Meetings para Windows que podría haber permitido a los atacantes locales no autenticados elevar privilegios y ejecutar comandos arbitrarios con privilegios de SYSTEM.