Larrialdi-maila handiko ahultasunak Cisco IP eta Bideo Telefonoetan

Argitalpen-data: 

Laburpen exekutiboa

Cisco bi ahultasun identifikatu ditu bere telefonia gailuetan, zehazki Cisco Desk Phone 9800 Series eta IP Phone 7800 eta 8800 lerroetan, baita Video Phone 8875ean ere. CVE-2025-20350, 7.5eko CVSS puntuazioa duena, urruneko erabiltzaile ez-autentifikatuek DoS (zerbitzu ukatzea) egoera bat eragitea ahalbidetzen du HTTP paketeak prozesatzean buffer gainezka bat sortuz, gailuaren eskuragarritasunean eraginez. Gainera, CVE-2025-20351, 6.1eko CVSS puntuazioa duena, Cross-Site Scripting (XSS) erasoak ahalbidetzen ditu, informazio sentikorra eskuratzeko edo erabiltzailearen nabigatzailean kode arbitrarioa exekutatzeko aukera emanez. Bi ahultasunek arreta berezia behar dute, bereziki lehena, bere funtzionamenduak etetea ahalbidetzen duelako. Gomendatzen da ahultasun hauek arintzeko konponbideak ahalik eta azkarren aplikatzea.

Eragindako baliabideak

  • Cisco Desk Phone 9800 Series (Cisco SIP Software 3.3(1))
  • Cisco IP Phone 7800 Series (14.3 eta 14.3 (14.3(1)SR2) baino lehenagoko bertsioak)
  • Cisco IP Phone 8800 Series (14.3 eta 14.3 (14.3(1)SR2) baino lehenagoko bertsioak)
  • Cisco Video Phone 8875 (Cisco SIP Software 2.3(1)SR1 eta aurrekoak, 3 (3.3(1)))
  • Cisco IP Phone 8821 (11 eta 11 (11.0(6)SR7) baino lehenagoko bertsioak)

Azterketa teknikoa

  • CVE-2025-20350: Cisco Desk Phone 9800 Series, Cisco IP Phone 7800 eta 8800 Series, eta Cisco Video Phone 8875en web interfazean ahultasun bat dago, urruneko erabiltzaile ez-autentifikatuek DoS egoera bat eragitea ahalbidetzen duena. Hori HTTP paketeak prozesatzean buffer gainezka bat sortzearen ondorio da. Ahultasun hau esplotatzeko, telefonoa Cisco Unified Communications Manager-en erregistratuta egon behar da eta web sarbidea aktibatuta izan behar da, lehenetsitako ezgaituta dagoena.
    • CWE-121
    • CVSS: 7.5 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2025-20351: Cisco Desk Phone 9800 Series, Cisco IP Phone 7800 eta 8800 Series, eta Cisco Video Phone 8875en web interfazean ahultasun bat dago, urruneko erabiltzaile ez-autentifikatuek XSS erasoak egitea ahalbidetzen duena. Hori ahalbidetzen du erasotzaileak kode arbitrarioa exekutatzeko edo nabigatzaileko informazio sentikorra eskuratzeko. Ahultasun hau esplotatzeko, telefonoa Cisco Unified Communications Manager-en erregistratuta egon behar da eta web sarbidea aktibatuta izan behar da, lehenetsitako ezgaituta dagoena.
    • CWE-79
    • CVSS: 6.1 (ertaina)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
    • Esplotazioa: Ez da detektatu

Arintzea/Konponbidea

Cisco telefonoen seriean segurtasun ahultasunak arintzeko edo konpontzeko, gomendatzen da hurrengoak egitea: Lehenik eta behin, egiaztatu telefonoan web sarbidea aktibatuta dagoen. Aktibatuta badago, desaktibatzea gomendatzen da, Cisco Unified Communications Manager-en administratzaile baimenduekin saioa hasi eta gailua aukeratuz eta web sarbidearen konfigurazioa egokituz egin daiteke. Gainera, Cisco-k ahultasun hauek konpontzen dituzten software eguneratzeak argitaratu ditu; gomendatzen da ahultasun hauek konpontzen dituzten software bertsio finkoak erabiltzea, aholkularitzako software finkoen atalean zerrendatutako bertsioen arabera. Ez da eskuragarri dauden irtenbide bitartekoak ahultasun hauek modu eraginkorrean arintzeko.

Erreferentzia gehigarriak

Partekatu