Notificar incidente

Alertas de Segurança

Alerta de Vulnerabilidade - Cisco IP Phones

tipo Vulnerabilidades
Sistemas afetadosIP Phone 6800 Series com Multiplatform Firmware, IP Phone 7800 Series com Multiplatform Firmware, IP Phone 8800 Series com Multiplatform Firmware
Ecossistema Outro

Descrição

Foi descoberta uma vulnerabilidade no interface do utilizador web nos Telefones IP Cisco das séries 6800, 7800 e 8000 com firmware multiplaforma, permitindo que um atacante remoto não autenticado possa fazer injecção de comandos e executar comandos com privilégios idênticos ao do servidor web.
Um atacante consegue explorar esta vulnerabilidade através da inclusão de comandos shell arbitrários num campo de input específico, devido a validação insuficiente desse campo de entrada.

impacto

Um atacante remoto consegue explorar esta vulnerabilidade, ficando com controlo total do sistema.

Resolução

Deve ser instalada a nova versão do firmware 11.2(1).

Referências

Cisco:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180711-phone-webui-inject

US-CERT:
https://www.us-cert.gov/ncas/current-activity/2018/07/11/Cisco-Releases-Security-Updates