Ian Thorne

**Nome do software vulnerável e versões afetadas** Cisco Desk Phone Série 9800 (versões afetadas não especificadas) Cisco IP Phone Série 6800 (versões afetadas não especificadas) Cisco IP Phone Série 7800 (versões afetadas não especificadas) Cisco IP Phone Série 8800 (versões afetadas não especificadas) Cisco Video Phone 8875 (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade na interface de usuário (UI) web dos dispositivos afetados pode permitir que um invasor remoto autenticado realize ataques de cross-site scripting (XSS) armazenados contra usuários. Esse problema existe porque a interface de usuário (UI) web não valida adequadamente as entradas fornecidas pelo usuário. Um invasor poderia explorar isso injetando código malicioso em páginas específicas da interface, permitindo potencialmente a execução de código de script arbitrário no contexto da interface afetada ou o acesso a informações confidenciais baseadas no navegador. Observe que, para explorar isso, o Acesso à Web deve estar habilitado no telefone e o invasor deve ter credenciais de administrador no dispositivo. O Acesso à Web está desabilitado por padrão. **Recomendações** Para o Cisco Desk Phone série 9800, considere desativar o Web Access até que uma correção esteja disponível. Para a série Cisco IP Phone 6800, restrinja o acesso à interface de usuário da web para usuários não administradores até que uma correção seja aplicada. Para a série Cisco IP Phone 7800, evite usar a interface de usuário da web para operações confidenciais até que o problema seja resolvido. Para a série Cisco IP Phone 8800, limite o uso da interface da web apenas às tarefas administrativas necessárias até que um patch seja lançado

**Nome do software vulnerável e versões afetadas** Versões do Cisco IP Phone 6800 (versões afetadas não especificadas) Versões do Cisco IP Phone 7800 (versões afetadas não especificadas) Versões do Cisco IP Phone 8800 (versões afetadas não especificadas) Versões do Cisco Video Phone 8875 (versões afetadas não especificadas) Versões do Cisco Desk Phone série 9800 (versões afetadas não especificadas) **Descrição** A vulnerabilidade está relacionada à interface web dos dispositivos afetados, que não valida adequadamente as entradas fornecidas pelo usuário. Isso poderia permitir que um invasor remoto realizasse ataques de cross-site scripting (XSS) armazenados contra os usuários. O invasor deve possuir credenciais de administrador no dispositivo e o acesso à web deve estar habilitado no telefone para explorar essa vulnerabilidade. O acesso à Web está desativado por padrão. A vulnerabilidade existe porque a interface de usuário da Web de um dispositivo afetado não valida adequadamente as entradas fornecidas pelo usuário, permitindo que um invasor injete código malicioso em páginas específicas da interface. **Recomendações** Para o Cisco IP Phone 6800, atualize para uma versão que corrija a vulnerabilidade, garantindo que o acesso à Web esteja desativado se não for necessário. Para o Cisco IP Phone 7800, atualize para uma versão que corrija a vulnerabilidade, garantindo que o Acesso à Web esteja desativado se não for necessário. Para o Cisco IP Phone 8800, atualize para uma versão que corrija a vulnerabilidade, garantindo que o Acesso à Web esteja desativado se não for necessário. Para o Cisco Video Phone 8875, atualize para uma versão que corrija a vulnerabilidade, garantindo que o Acesso à Web esteja desativado