سیسکو یه هشداری در خصوص اصلاح دو آسیب پذیری در محصولات مختلف IP Phone منتشر کرده. یکی از آسیب پذیری ها بحرانی و یکی با شدت بالاست.
آسیب پذیری CVE-2023-20078 :
آسیب پذیری از نوع Command Injection و در رابط مدیریت مبتنی بر وب رخ میده. شدت اون بحرانی و دارای امتیاز 9.8 هستش. مهاجم از راه دور و بدون احراز هویت میتونه با امتیاز ROOT دستور دلخواه اجرا کنه.
نسخه های تحت تاثیر :
- IP Phone 6800 Series with Multiplatform Firmware
- IP Phone 7800 Series with Multiplatform Firmware
- IP Phone 8800 Series with Multiplatform Firmware
نسخه های اصلاح شده:
آسیب پذیری CVE-2023-20079 :
آسیب پذیری در رابط مدیریت وب و دارای امتیاز 7.5 و شدت بالاست. مهاجم از راه دور و بدون احراز هویت باعث لوود مجدد دستگاه و در نتیجه DoS میشه.
نسخه های تحت تاثیر :
- IP Phone 6800 Series with Multiplatform Firmware
- IP Phone 7800 Series with Multiplatform Firmware
- IP Phone 8800 Series with Multiplatform Firmware
- Unified IP Conference Phone 8831
- Unified IP Conference Phone 8831 with Multiplatform Firmware
- Unified IP Phone 7900 Series
نسخه اصلاح شده:
سیسکو برای این آسیب پذیری اصلاحیه ای منتشر نکرده و نخواهد کرد. Cisco Unified IP Phone 7900 Series و Cisco Unified IP Conference Phone 8831 وارد پایان عمر خودشون شدن و کاربران باید به نسخه های جدید تر ارتقاء بدن.
سیسکو گفته که هر دو آسیب پذیری مورد اکسپلویت قرار نگرفتن.