[TLP:CLEAR] Cisco opravuje 3 zranitelnosti v produktech IP Phone 6800, 7800, 8800 a Video Phone 8875
Cisco Multiplatform Firmware verze 12.0.4SR1 a PhoneOS verze 2.3.1.0101 opravují vysoce závažné zranitelnosti postihující produkty IP Phone 6800, 7800, 8800 a Video Phone 8875 [1].
Neautentizovanému vzdálenému útočníkovi je kvůli nedostatečnému ověření koncových bodů webového rozhraní pro správu umožněno získat citlivé informace z postiženého zařízení [1].
Zranitelnost se nachází v produktech:
- Cisco Multiplatform Firmware ve verzích <12.0.4SR1
- Cisco PhoneOS ve verzích <2.3.1.0101
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Více informací:
- CVE-2024-20378 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-305: Authentication Bypass by Primary Weakness at cwe.mitre.org
Zranitelnost byla veřejně oznámena 1. 5. 2024.
Neautentizovanému vzdálenému útočníkovi je z důvodu nedostatečné kontroly hranic při zpracování XML požadavků umožněno iniciovat hovory nebo přehrávat zvuky na postiženém zařízení [1].
Zranitelnost se nachází v produktech:
- Cisco Multiplatform Firmware ve verzích <12.0.4SR1
- Cisco PhoneOS ve verzích <2.3.1.0101
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
Více informací:
- CVE-2024-20357 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-787: Out-of-bounds Write at cwe.mitre.org
Zranitelnost byla veřejně oznámena 1. 5. 2024.
Neautentizovanému vzdálenému útočníkovi je kvůli nedostatečné validaci uživatelem zadaného vstupu umožněno způsobit restart postiženého zařízení, což může vést ke stavu odepření služby [1].
Zranitelnost se nachází v produktech:
- Cisco Multiplatform Firmware ve verzích <12.0.4SR1
- Cisco PhoneOS ve verzích <2.3.1.0101
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Více informací:
- CVE-2024-20376 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-787: Out-of-bounds Write at cwe.mitre.org
Zranitelnost byla veřejně oznámena 1. 5. 2024.
Publikovala Michaela Mačalíková dne 20. 5. 2024.
