Η Cisco ανακοίνωσε αυτή την εβδομάδα ενημερώσεις λογισμικού που αντιμετωπίζουν μια κρίσιμη ευπάθεια στη διεπαφή διαχείρισης που βασίζεται στο web των τηλεφώνων IP της σειράς 6800, 7800 και 8800.
Παρακολούθηση ως CVE-2023-20078 (βαθμολογία CVSS 9,8), το ζήτημα μπορεί να αξιοποιηθεί από έναν μη επαληθευμένο, απομακρυσμένο εισβολέα για την εκτέλεση κώδικα με δικαιώματα root.
Το ελάττωμα ασφαλείας υπάρχει επειδή η είσοδος χρήστη δεν είναι επαρκώς επικυρωμένη.
«Ένας εισβολέας θα μπορούσε να εκμεταλλευτεί αυτή την ευπάθεια στέλνοντας ένα αίτημα στη διεπαφή διαχείρισης που βασίζεται στον ιστό. Μια επιτυχημένη εκμετάλλευση θα μπορούσε να επιτρέψει στον εισβολέα να εκτελεί αυθαίρετες εντολές στο υποκείμενο λειτουργικό σύστημα μιας επηρεαζόμενης συσκευής», εξηγεί ο τεχνολογικός γίγαντας.
Στα ευάλωτα προϊόντα περιλαμβάνονται συσκευές IP Phone 6800, 7800 και 8800 series, με υλικολογισμικό πολλαπλών πλατφορμών. Το ελάττωμα αντιμετωπίστηκε με την κυκλοφορία της έκδοσης υλικολογισμικού 11.3.7SR1.
Η ενημέρωση υλικολογισμικού αντιμετωπίζει επίσης το CVE-2023-20079 (βαθμολογία CVSS 7,5), μια άλλη ανεπαρκή επικύρωση του σφάλματος εισόδου που παρέχεται από τον χρήστη, το οποίο θα μπορούσε να χρησιμοποιηθεί για να προκαλέσει μια συνθήκη άρνησης υπηρεσίας (DoS).
Εκτός από τις προαναφερθείσες συσκευές, η ευπάθεια επηρεάζει επίσης το ενοποιημένο τηλέφωνο συνδιάσκεψης IP 8831 της Cisco, το ενοποιημένο τηλέφωνο διάσκεψης IP 8831 με υλικολογισμικό πολλαπλών πλατφορμών και τις συσκευές ενοποιημένης σειράς τηλεφώνου IP 7900, οι οποίες έχουν φτάσει σε κατάσταση τέλους ζωής (EoL) και δεν θα λάβετε patches.