O vulnerabilitate critică în telefoanele Cisco IP Phone expune utilizatorii la atacuri de tip command injection

Compania Cisco a lansat actualizări de securitate pentru a remedia o vulnerabilitate critică ce afectează seria de produse IP Phone 6800, 7800, 7900 și 8800.

Vulnerabilitatea, identificată ca CVE-2023-20078 având scor CVSS de 9,8/10, este de tip command injection în cadrul interfeței web de management și apare din cauza validării necorespunzătoare a datelor de intrare furnizate de utilizator.

Exploatarea cu succes a acestei vulnerabilități ar putea permite unui atacator neautentificat, de la distanță să injecteze comenzi arbitrare care sunt executate cu drepturi de administrator pe sistemul de operare.

De asemenea, Cisco a remediat și o vulnerabilitate critică ce ar putea duce la un atac de tip DoS (denial-of-service) care afectează aceleași dispozitive, dar și seriile Cisco Unified IP Conference Phone 8831 și Unified IP Phone 7900.

Cunoscută ca CVE-2023-20079 scor CVSS 7,5/10, vulnerabilitatea apare, de asemenea, din cauza unei validări necorespunzătoare a datelor de intrare furnizate de utilizator în interfața web de management și ar putea fi exploatată pentru a provoca un atac de tip DoS.

Pentru a remedia CVE-2023-20078, Cisco a lansat versiunea 11.3.7SR1 a firmware-ului Cisco Multiplatform. Pentru vulnerabilitatea CVE-2023-20079, compania nu va mai lansa actualizări deoarece modelele Cisco Unified IP Conference Phone au ajuns la sfârșitul perioadei de funcționare.

Sursă: https://thehackernews.com/2023/03/critical-flaw-in-cisco-ip-phone-series.html