思科IP Phone系列中的严重缺陷使用户面临命令注入攻击
思科周三推出了安全更新,以解决影响其IP Phone 6800、7800、7900 和 8800 系列产品的严重缺陷。

该漏洞被跟踪为CVE-2023-20078,在CVSS评分系统中被评为 9.8 分(满分 10 分),被描述为基于 Web 的管理界面中的命令注入错误,这是由于对用户提供的输入的验证不充分而引起的。
成功利用该漏洞可能允许未经身份验证的远程攻击者注入任意命令,这些命令在底层操作系统上以最高权限执行。
“攻击者可以通过向基于 Web 的管理界面发送精心设计的请求来利用此漏洞,”思科在 2023 年 3 月 1 日发布的警报中表示。
该公司还修补了影响同一组设备以及Cisco Unified IP Conference Phone 8831 和Unified IP Phone 7900系列的高严重性拒绝服务 (DoS) 漏洞。
CVE-2023-20079(CVSS 分数:7.5)也是基于Web的管理界面中用户提供的输入验证不足的结果,可能会被对手滥用以导致 DoS条件。
虽然思科发布了Cisco多平台固件版本11.3.7SR1 来解决CVE-2023-20078,但该公司表示不打算修复CVE-2023-20079,因为两种统一IP会议电话型号都已进入生命周期结束(停产)。
该公司表示,它不知道有任何针对该漏洞的恶意利用企图。它还表示,这些漏洞是在内部安全测试期间发现的。
该公告发布之际,Hewlett Packard Enterprise 的子公司Aruba Networks 发布了ArubaOS 更新,以修复多个未经身份验证的命令注入和基于堆栈的缓冲区溢出漏洞(从CVE-2023-22747 到CVE-2023-22752,CVSS 评分:9.8 )可能导致代码执行。
本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/4551.html