点击上方蓝字关注我们
CVE-2023-20078
思科近日修复了多个IP电话中的关键Web UI RCE漏洞。这个漏洞允许未经认证的远程攻击者进行远程代码执行(RCE)攻击。
该RCE漏洞(CVE-2023-20078)允许攻击者注入任意命令,成功利用后将以root权限执行。
思科表示,“一个成功的利用可以让攻击者在受影响设备的底层操作系统上执行任意命令。”
CVE-2023-20079
思科昨日还披露了一个高危漏洞(CVE-2023-20079)。该漏洞可被滥用以触发拒绝服务(DoS)条件。
这些漏洞是由思科高级安全倡议小组(ASIG)的Zack Sanchez在内部安全测试中发现的,它们都是由于对用户提供的输入信息验证不足造成的,并且可以通过向目标设备的web管理界面发送恶意制作的请求来加以利用。
受影响的设备清单包括带有多平台固件的思科IP电话6800、7800和8800系列设备(容易受到RCE和DoS攻击),以及统一IP会议电话8831、带有多平台固件的统一IP会议电话8831和统一IP电话7900系列(只容易受到DoS攻击)。
思科的产品安全事件响应小组(PSIRT)补充道,目前没有看到试图利用这一安全漏洞进行攻击的证据。
Dos漏洞仍未修复
原文链接🔗
https://www.bleepingcomputer.com/news/security/cisco-patches-critical-web-ui-rce-flaw-in-multiple-ip-phones/
往期推荐
原文始发于微信公众号(360漏洞研究院):行业资讯|Cisco修复多个IP电话中的关键Web UI RCE漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论