思科IP Phone系列中的严重缺陷使用户面临命令注入攻击

思科周三推出了安全更新，以解决影响其IP Phone 6800、7800、7900 和 8800 系列产品的严重缺陷。

该漏洞被跟踪为CVE-2023-20078，在CVSS评分系统中被评为 9.8 分（满分 10 分），被描述为基于 Web 的管理界面中的命令注入错误，这是由于对用户提供的输入的验证不充分而引起的。

成功利用该漏洞可能允许未经身份验证的远程攻击者注入任意命令，这些命令在底层操作系统上以最高权限执行。

“攻击者可以通过向基于 Web 的管理界面发送精心设计的请求来利用此漏洞，”思科在 2023 年 3 月 1 日发布的警报中表示。

该公司还修补了影响同一组设备以及Cisco Unified IP Conference Phone 8831 和Unified IP Phone 7900系列的高严重性拒绝服务 (DoS) 漏洞。

CVE-2023-20079（CVSS 分数：7.5）也是基于Web的管理界面中用户提供的输入验证不足的结果，可能会被对手滥用以导致 DoS条件。

虽然思科发布了Cisco多平台固件版本11.3.7SR1 来解决CVE-2023-20078，但该公司表示不打算修复CVE-2023-20079，因为两种统一IP会议电话型号都已进入生命周期结束（停产）。

该公司表示，它不知道有任何针对该漏洞的恶意利用企图。它还表示，这些漏洞是在内部安全测试期间发现的。

该公告发布之际，Hewlett Packard Enterprise 的子公司Aruba Networks 发布了ArubaOS 更新，以修复多个未经身份验证的命令注入和基于堆栈的缓冲区溢出漏洞（从CVE-2023-22747 到CVE-2023-22752，CVSS 评分：9.8 )可能导致代码执行。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/4551.html