Falha crítica nos telefones Cisco IP expõe usuários a ataques de injeção de comando

A vulnerabilidade, rastreada como CVE-2023-20078, é classificada como 9,8 de 10 no sistema de pontuação CVSS e é descrita como um bug de injeção de comando na interface de gerenciamento baseada na Web decorrente da validação insuficiente da entrada fornecida pelo usuário.

A exploração bem-sucedida do bug pode permitir que um invasor remoto não autenticado injete comandos arbitrários que são executados com os privilégios mais altos no sistema operacional subjacente.

“Um invasor pode explorar essa vulnerabilidade enviando uma solicitação criada para a interface de gerenciamento baseada na Web”, disse a Cisco em um alerta publicado em 1º de março de 2023.

Também corrigida pela empresa está uma vulnerabilidade de negação de serviço (DoS) de alta gravidade que afeta o mesmo conjunto de dispositivos, bem como o Cisco Unified IP Conference Phone 8831 e o Unified IP Phone 7900 Series.

O CVE-2023-20079 (pontuação CVSS: 7,5), também resultado da validação insuficiente da entrada fornecida pelo usuário na interface de gerenciamento baseada na web, pode ser usado de forma abusiva por um adversário para causar uma condição DoS.

Embora a Cisco tenha lançado o Cisco Multiplatform Firmware versão 11.3.7SR1 para resolver o CVE-2023-20078, a empresa disse que não planeja corrigir o CVE-2023-20079, pois ambos os modelos de telefone de conferência IP unificado entraram em fim de vida ( EOL).

A empresa disse que não está ciente de nenhuma tentativa de exploração maliciosa visando a falha. Ele também disse que as falhas foram descobertas durante testes de segurança interna.

O comunicado vem quando a Aruba Networks, uma subsidiária da Hewlett Packard Enterprise, lançou uma atualização para o ArubaOS para corrigir várias falhas de injeção de comando não autenticado e estouro de buffer baseado em pilha (de CVE-2023-22747 a CVE-2023-22752, pontuações CVSS: 9,8 ) que pode resultar na execução do código.