来源: https://thehackernews.com/2023/03/critical-flaw-in-cisco-ip-phone-series.html
思科2023年3月1日周三推出了安全更新,以解决影响其IP电话6800,7800,7900和8800系列产品的关键漏洞。
该漏洞编号为 CVE-2023-20078,在 CVSS 评分系统上的评分为 9.8 分(满分 10 分),是基于 Web 的管理界面中的命令注入漏洞,这是由于对用户提供的输入缺少验证措施而导致的。
此漏洞若成功利用,可允许未经身份验证的远程攻击者在底层操作系统上以最高权限执行的任意命令。
思科在 2023 月3月1日发布的安全通过中表示:“攻击者可以通过向基于 Web 的管理界面发送精心编制的请求来利用此漏洞。“”
该公司还修补了一个影响同一组设备的高严重拒绝服务(DoS)漏洞,以及思科统一IP会议电话8831和统一IP电话7900系列。
CVE-2023-20079(CVSS 分数:7.5)也是由于在基于 Web 的管理界面中对用户提供的输入验证不足而导致的,攻击者可能会滥用此漏洞来造成 DoS 情况。
虽然思科已经发布了思科多平台固件版本11.3.7SR1来解决CVE-2023-20078,但该公司表示不打算修复CVE-2023-20079,因为两种统一IP会议电话型号都已进入生命周期结束(EoL)。
该公司表示,它不知道有任何针对该漏洞的恶意利用尝试。它还表示,这些漏洞是在内部安全测试期间发现的。
该通报发布之际,惠普企业的子公司 Aruba Networks 发布了 ArubaOS 更新,以修复多个未经身份验证的命令注入和缓冲区溢出漏洞(从 CVE-2023-22747 到 CVE-2023-22752,CVSS 分数:9.8),这些漏洞可能导致代码任意执行。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
