Se ha reportado un nuevo aviso de seguridad sobre dos vulnerabilidades que afectan a IP Phone y Unified IP Conference Phone de Cisco, que permitirían a un atacante realizar inyección de comandos arbitrarios y denegación de servicios (DoS) en el dispositivo afectado.
Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Crítica”, 1 (una) de severidad “Alta”. Las mismas se detallan a continuación:
- CVE-2023-20078, de severidad “Crítica”, con una puntuación asignada de 9.8. Esta vulnerabilidad de inyección de comandos se debe a la validación incorrecta de datos de entrada en teléfonos IP de Cisco. Esto permitiría a un atacante remoto no autenticado a través de una solicitud especialmente diseñada enviada a la interfaz de administración web, ejecutar comandos arbitrarios con privilegios de root en el dispositivo afectado.
- CVE-2023-20079, de severidad “Alta”, con una puntuación asignada de 7.5. Esta vulnerabilidad se debe a la validación incorrecta de datos de entrada en teléfonos IP de Cisco. Esto permitiría a un atacante remoto no autenticado a través de una solicitud especialmente diseñada enviada a la interfaz de administración web, provocar denegación de servicio (DoS) en los dispositivos afectados.
Los productos afectados son:
- Teléfonos IP series 6800, 7800 y 8800 (con Cisco Multiplatform Firmware versiones previas a 11.3.7SR1).
- Teléfonos de conferencia IP unificado 8831 (con Cisco Multiplatform Firmware, todas versiones).
- Teléfono IP unificado serie 7900 (con Cisco Multiplatform Firmware, todas versiones).
Recomendamos acceder a la actualización correspondiente proporcionada por el fabricante en el siguiente enlace:
Adicionalmente recomendamos reemplazar los dispositivos que ya se encuentran sin soporte del fabricante: Teléfonos de conferencia IP unificado 8831 y Teléfono IP unificado serie 7900.
Referencias: