PT-2024-5449 · Cisco · Cisco Small Business Spa300 Series Ip Phones+1
Publicado
2024-08-07
·
Atualizado
2024-08-23
·
CVE-2024-20450
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Telefones IP Cisco Small Business série SPA300 (versões afetadas não especificadas)
Telefones IP Cisco Small Business série SPA500 (versões afetadas não especificadas)
Descrição
O problema está relacionado a uma vulnerabilidade de estouro de buffer na interface de gerenciamento baseada na web dos telefones IP afetados, causada por verificação insuficiente de erros nos pacotes HTTP recebidos. Isso poderia permitir que um invasor remoto executasse comandos arbitrários no sistema operacional subjacente com privilégios de root, enviando uma solicitação HTTP maliciosa. A vulnerabilidade está sendo explorada ativamente.
Recomendações
Para os telefones IP da série Cisco Small Business SPA300, atualize para uma versão que inclua a correção para este problema.
Para os telefones IP da série Cisco Small Business SPA500, atualize para uma versão que inclua a correção para este problema.
Como solução alternativa temporária, considere restringir o acesso à interface de gerenciamento baseada na web para minimizar o risco de exploração.
Correção
Buffer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cisco Small Business Spa300 Series Ip Phones
Cisco Small Business Spa500 Series Ip Phones