聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
思科提醒称,已达生命周期的 Small Business SPA 300和SPA500 系列IP电话中存在多个严重的远程代码执行 (RCE) 0day 漏洞。思科并未发布修复方案和缓解建议,因此用户必须尽快升级至更新的以及受活跃支持的机型。
漏洞详情
思科共发现了五个漏洞,其中三个是严重级别(CVSS v3.1评分9.8)和两个高危漏洞(CVSS v3.1 评分7.5)。这些漏洞的编号是CVE-2024-20450、CVE-2024-20452和CVE-2024-20454。
这些缓冲溢出漏洞可导致未认证的远程攻击者,通过向目标设备发送特殊构造的HTTP 请求,以 root 权限在底层 OS 上执行任意命令。思科在安全通告中提到,“成功利用可导致攻击者溢出一个内部缓冲区并以root权限执行任意命令。”
这两个高危漏洞是CVE-2024-20451和CVE-2024-20453,是由对HTTP数据包上的检查不当导致的,可导致恶意数据包在受影响设备上引发拒绝服务。思科表示,所有这五个漏洞影响在SPA300和SPA500 IP 电话上运行的所有软件发布,不管软件的配置如何,它们之间是独立的,即可遭单独利用。
支持终止
思科支持门户提到,SPA300 的最后一次出售时间是2019年2月,并在三年后终止支持。对于SPA 500而言,思科在2020年6月1日起终止出售。不过值得注意的是,思科仍然为服务合同或特殊保证条件的客户保留2025年5月31日前的SPA500服务,但SPA300自2024年2月29日起就不再受支持。
这两款设备均不会获得安全更新,因此建议用户升级至更新的受支持机型,如Cisco IP Phone 8841或Cisco 600系列设备。思科还提供“技术迁移计划”,允许用户交易符合条件的产品并获得购买新设备的积分。无法确定选择哪种方式的用户可联系思科的技术支持中心。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
高危无补丁0day影响思科数据中心交换机,可导致加密流量遭篡改
原文链接
https://www.bleepingcomputer.com/news/security/google-fixes-android-kernel-zero-day-exploited-in-targeted-attacks/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
1083
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
