紧急升级：思科Jabber统一通信解决方案发现任意程序执行漏洞

2021-03-25 15:30:45

Cisco Jabber是思科公司一套统一通信手机客户端解决方法，其商品包含Mac,Windows桌面上服务平台，iPad，iPhone，Android移动应用平台。Cisco Jabber将即时聊天、视频语音和视频聊天、视频语音电子邮件、桌面共享、大会和在线状态等多种多样作用集于一身，能够随时随地寻找适合的工作人员，确定其是不是有时间，并且以更合理地方法与她们合作。

3月24日,思科交换机公布了安全性公示,思科交换机Jabber统一通信解决方法发觉随意程序运行等高风险漏洞,提议尽早升級。下列是漏洞详细信息：

漏洞详细信息

来源于：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cisco-jabber-PWrTATTC

1.CVE-2021-1411 CVSS得分：9.9 比较严重水平：高风险

Windows版Cisco Jabber中的漏洞很有可能容许历经身份认证的远程控制攻击者在总体目标系统软件上程序执行。

此漏洞是因为电子邮件內容认证有误造成的。攻击者能够根据向受影响的手机软件推送特别制作的XMPP信息来利用此漏洞。取得成功的利用很有可能使攻击者利用运作Cisco Jabber客户端的客户账号的权利，使应用软件在总体目标系统软件上实行随意程序流程，这很有可能造成随意代码执行。

2.CVE-2021-1469 CVSS得分：7.2 比较严重水平：高

Windows版Cisco Jabber中的漏洞很有可能容许历经身份认证的远程控制攻击者在总体目标系统软件上程序执行。

此漏洞是因为电子邮件內容认证有误造成的。具备尤其配备的XMPP网络服务器账号的攻击者能够根据向受影响的手机软件推送特别制作的XMPP信息来利用此漏洞。取得成功的利用很有可能使攻击者利用运作Cisco Jabber客户端的客户账号的权利，使应用软件在总体目标系统软件上实行随意程序流程，这很有可能造成随意代码执行。

3.CVE-2021-1417 CVSS得分：6.5 比较严重水平：中

Windows版Cisco Jabber中的漏洞很有可能容许历经身份认证的远程控制攻击者浏览比较敏感信息内容。

此漏洞是因为电子邮件內容认证有误造成的。攻击者能够根据将纯手工制作的XMPP信息发送至总体目标系统软件来利用此漏洞。取得成功利用此漏洞很有可能使攻击者造成应用软件将比较敏感的身份认证信息内容回到给另一个系统软件，攻击者能够在别的系统软件中应用该信息内容。

4.CVE-2021-1471 CVSS得分：5.6 比较严重水平：中

Windows的Cisco Jabber，MacOS的Cisco Jabber和移动应用平台的Cisco Jabber中的漏洞很有可能容许没经身份认证的远程控制攻击者阻拦受维护的数据流量。

此漏洞是因为资格证书认证有误导致的。攻击者能够根据应用权利网络位置来阻拦来源于受影响手机软件的互联网要求并提供故意制做的资格证书，进而利用此漏洞。取得成功的利用很有可能使攻击者可以查验或改动Cisco Jabber手机客户端与集群服务器的联接。

5.CVE-2021-1418 CVSS得分：4.3 比较严重水平：中

Windows的Cisco Jabber，macOS的Cisco Jabber和移动应用平台的Cisco Jabber中的漏洞很有可能容许历经身份认证的远程控制攻击者造成DoS标准。

此漏洞是因为电子邮件內容认证有误造成的。攻击者能够根据将纯手工制作的XMPP信息发送至总体目标系统软件来利用此漏洞。取得成功的利用很有可能使攻击者造成应用软件停止，进而造成 DoS情况。

受影响商品

这种漏洞危害Windows,macOS,移动应用平台iOS和Android服务平台的Cisco Jabber。

解决方法