Múltiples vulnerabilidades en teléfonos IP de Cisco

Fecha de publicación:

02/03/2023

Identificador:

INCIBE-2023-0080

Importancia:

5 - Crítica

Recursos afectados:

Teléfono IP Serie 6800 con firmware multiplataforma.
Teléfono IP Serie 7800 con firmware multiplataforma.
Teléfono IP Serie 8800 con firmware multiplataforma.
Teléfono de conferencia IP unificado 8831.
Teléfono de conferencia IP unificado 8831 con firmware multiplataforma.

Descripción:

Cisco ha anunciado dos vulnerabilidades, una de severidad crítica y otra alta, en la interfaz de administración web de ciertos teléfonos IP, que podrían permitir a un atacante remoto no autenticado ejecutar código arbitrario o provocar una condición de denegación de servicio (DoS).

Solución:

Cisco ha lanzado actualizaciones de software que abordan las vulnerabilidades.

Detalle:

Las vulnerabilidades publicadas permiten una inyección de comandos con privilegios de root de los teléfonos IP, a través de la interfaz de administración web, o una denegación de servicio (DoS). Estas vulnerabilidades se deben a una validación insuficiente de la entrada proporcionada por el usuario. Se han asignado los identificadores CVE-2023-20078 (crítica) y CVE-2023-20079 (alta) para estas vulnerabilidades.

Referencias:

Cisco IP Phone 6800, 7800, and 8800 Series Web UI Vulnerabilities

Etiquetas:

Accesos corporativos

Múltiples vulnerabilidades en teléfonos IP de Cisco

Vulnerabilidades 0day en chipsets Exynos de Samsung

Múltiples vulnerabilidades en el core de Drupal

Actualización de seguridad de SAP de marzo de 2023

Múltiples vulnerabilidades en productos ClearPass Policy Manager de Aruba

Actualizaciones de seguridad de Microsoft de marzo de 2023