CVE-2023-20078: Выполнение произвольного кода в IP Phone 6800 Series with Multiplatform Firmware

Выполнение произвольного кода в IP Phone 6800 Series with Multiplatform Firmware

Уязвимое программное обеспечение

• IP Phone 6800 Series with Multiplatform Firmware: до 11.3.7SR1
• IP Phone 7800 Series with Multiplatform Firmware: до 11.3.7SR1
• Cisco IP Phone 8800 Series with Multiplatform Firmware: до 11.3.7SR1

Common Vulnerability Scoring System

Рейтинг: КРИТИЧЕСКИЙ
Оценка: 9.8
Вектор: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Метод эксплуатации

Отправка специально сформированных данных.

Уменьшение последствий

Данная уязвимость устраняется официальным патчем вендора. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуем устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Common Weakness Enumeration

CWE: 78
Описание:Некорректная нейтрализация специальных элементов, используемых в системных командах (внедрение команд ОС)

Ссылки

• http://bst.cloudapps.cisco.com/bugsearch/bug/CSCwd39132
• http://bst.cloudapps.cisco.com/bugsearch/bug/CSCwd40489
• http://bst.cloudapps.cisco.com/bugsearch/bug/CSCwd40494
• http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ip-phone-cmd-inj-KMFynVcP
• http://bst.cloudapps.cisco.com/bugsearch/bug/CSCwc78400
• http://bst.cloudapps.cisco.com/bugsearch/bug/CSCwd40474