PT-2024-3515 · Cisco · Cisco Ip Phone 7800+3
Andras Kosztyu
+3
·
Publicado
2024-05-01
·
Atualizado
2026-01-05
·
CVE-2024-20357
CVSS v3.1
5.9
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Cisco IP Phone 6800 (versões afetadas não especificadas)
Versões do Cisco IP Phone 7800 (versões afetadas não especificadas)
Versões do Cisco IP Phone 8800 (versões afetadas não especificadas)
Versões do Cisco Video Phone 8875 (versões afetadas não especificadas)
Descrição
O problema está relacionado a um estouro de buffer na memória da interface web para gerenciamento do firmware dos Cisco IP Phones. Isso pode ser explorado por um invasor remoto não autenticado usando solicitações XML especialmente criadas, permitindo potencialmente a realização de chamadas telefônicas no dispositivo afetado. A vulnerabilidade existe devido à falta de verificação de limites durante a análise de solicitações XML. Um invasor poderia explorar isso enviando uma solicitação XML criada para um dispositivo afetado, permitindo potencialmente que ele inicie chamadas ou reproduza sons no dispositivo.
Recomendações
Para o Cisco IP Phone 6800, atualize o firmware para uma versão que inclua a correção para este problema.
Para o Cisco IP Phone 7800, atualize o firmware para uma versão que inclua a correção para este problema.
Para o Cisco IP Phone 8800, atualize o firmware para uma versão que inclua a correção para este problema.
Para o Cisco Video Phone 8875, atualize o firmware para uma versão que inclua a correção para este problema.
Como solução alternativa temporária, considere restringir o acesso ao serviço XML nos dispositivos afetados até que um patch esteja disponível.
Correção
Memory Corruption
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cisco Ip Phone 6800
Cisco Ip Phone 7800
Cisco Ip Phone 8800
Cisco Video Phone 8875