行业资讯｜Cisco修复多个IP电话中的关键Web UI RCE漏洞

点击上方蓝字关注我们

CVE-2023-20078

思科近日修复了多个IP电话中的关键Web UI RCE漏洞。这个漏洞允许未经认证的远程攻击者进行远程代码执行（RCE）攻击。

该RCE漏洞（CVE-2023-20078）允许攻击者注入任意命令，成功利用后将以root权限执行。

思科表示，“一个成功的利用可以让攻击者在受影响设备的底层操作系统上执行任意命令。”

CVE-2023-20079

思科昨日还披露了一个高危漏洞（CVE-2023-20079）。该漏洞可被滥用以触发拒绝服务（DoS）条件。

这些漏洞是由思科高级安全倡议小组（ASIG）的Zack Sanchez在内部安全测试中发现的，它们都是由于对用户提供的输入信息验证不足造成的，并且可以通过向目标设备的web管理界面发送恶意制作的请求来加以利用。

受影响的设备清单包括带有多平台固件的思科IP电话6800、7800和8800系列设备（容易受到RCE和DoS攻击），以及统一IP会议电话8831、带有多平台固件的统一IP会议电话8831和统一IP电话7900系列（只容易受到DoS攻击）。

思科的产品安全事件响应小组（PSIRT）补充道，目前没有看到试图利用这一安全漏洞进行攻击的证据。

Dos漏洞仍未修复

思科发布了安全更新以解决CVE-2023-20078 RCE漏洞，但思科表示不会发布补丁来修复CVE-2023-20079 DoS漏洞。

思科解释道，“思科统一IP电话7900系列和思科统一IP会议电话8831已进入报废过程。”

思科还在去年12月宣布，它将为运行7800和8800系列固件的，思科IP电话的CDP处理功能中发现的高危0day漏洞（CVE-2022-20968）发布补丁，并公开其利用代码。

虽然CVE-2022-20968的安全更新尚不可用，但建议管理员在受影响的支持链路层发现协议（LLDP）的IP电话设备上禁用CDP以消除攻击媒介。

原文链接🔗

https://www.bleepingcomputer.com/news/security/cisco-patches-critical-web-ui-rce-flaw-in-multiple-ip-phones/

来源：Bleeping Computer

往期推荐

思科开源软件ClamAV存在严重漏洞

虚假ChatGPT应用程序泛滥

原文始发于微信公众号（360漏洞研究院）：行业资讯｜Cisco修复多个IP电话中的关键Web UI RCE漏洞