Cisco в среду выпустила обновления для двух уязвимостей в веб-интерфейсе управления четырех серий моделей своих IP-телефонов Cisco.
Более серьезная ошибка, уязвимость внедрения команд — CVE-2023-20078 — была признана критической с оценкой CVSS 9,8 и затрагивала многоплатформенные телефоны Cisco IP Phone 6800, 7800 и 8800. Cisco заявила, что уязвимость может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, внедрить произвольные команды, которые выполняются с привилегиями root, по сути, это атака с удаленным выполнением кода (RCE).
CVE-2023-20078 была вызвана недостаточной проверкой введенных пользователем данных, уязвимостью веб-интерфейса. Cisco заявила, что злоумышленник может воспользоваться этой уязвимостью, отправив сформированный запрос в веб-интерфейс управления. Успешный эксплойт может позволить злоумышленнику выполнять произвольные команды в базовой операционной системе уязвимого устройства.
Другая уязвимость — CVE-2023-20079 — была оценена как очень опасная с оценкой CVSS 7,5. Он затронул многоплатформенные телефоны Cisco IP Phone серий 6800, 7800 и 8800, а также телефоны Cisco Unified IP Conference Phone 8831 и Unified IP Phone серии 7900.
Cisco заявила, что уязвимость может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, вызвать перезагрузку затронутого устройства, что приведет к атаке типа «отказ в обслуживании» (DoS). Уязвимость также была вызвана уязвимостью пользовательского интерфейса. Злоумышленник может воспользоваться этой уязвимостью, отправив сформированный запрос в веб-интерфейс управления.
Cisco выпустила обновления для устранения двух уязвимостей, обходных путей нет. Поставщик заявил, что его клиенты с контрактами на обслуживание, которые дают им право на регулярные обновления программного обеспечения, должны получать исправления безопасности через обычные каналы обновлений. Клиенты могут устанавливать и рассчитывать на поддержку только тех версий программного обеспечения и наборов функций, для которых они приобрели лицензию.
