CVE-2024-20533

Cisco Desk Phone Série 9800 (versões afetadas não especificadas)

Cisco IP Phone Série 6800 (versões afetadas não especificadas)

Cisco IP Phone Série 7800 (versões afetadas não especificadas)

Cisco IP Phone Série 8800 (versões afetadas não especificadas)

Cisco Video Phone 8875 (versões afetadas não especificadas)

Uma vulnerabilidade na interface de usuário (UI) web dos dispositivos afetados pode permitir que um invasor remoto autenticado realize ataques de cross-site scripting (XSS) armazenados contra usuários. Esse problema existe porque a interface de usuário (UI) web não valida adequadamente as entradas fornecidas pelo usuário. Um invasor poderia explorar isso injetando código malicioso em páginas específicas da interface, permitindo potencialmente a execução de código de script arbitrário no contexto da interface afetada ou o acesso a informações confidenciais baseadas no navegador. Observe que, para explorar isso, o Acesso à Web deve estar habilitado no telefone e o invasor deve ter credenciais de administrador no dispositivo. O Acesso à Web está desabilitado por padrão.

Para o Cisco Desk Phone série 9800, considere desativar o Web Access até que uma correção esteja disponível.

Para a série Cisco IP Phone 6800, restrinja o acesso à interface de usuário da web para usuários não administradores até que uma correção seja aplicada.

Para a série Cisco IP Phone 7800, evite usar a interface de usuário da web para operações confidenciais até que o problema seja resolvido.

Para a série Cisco IP Phone 8800, limite o uso da interface da web apenas às tarefas administrativas necessárias até que um patch seja lançado