Cisco lanzó el miércoles actualizaciones de seguridad para abordar una falla crítica que afecta a sus productos IP Phone 6800, 7800, 7900 y 8800 Series.
La vulnerabilidad, identificada como CVE-2023-20078, tiene una calificación de 9.8 sobre 10 en el sistema de puntuación CVSS y se describe como un error de inyección de comandos en la interfaz de administración basada en web que surge debido a una validación insuficiente de la entrada proporcionada por el usuario.
La explotación exitosa del error podría permitir a un atacante remoto no autenticado, inyectar comandos arbitrarios que sean ejecutados con los privilegios más altos en el sistema operativo subyacente.
“Un atacante podría explotar esta vulnerabilidad enviando una solicitud elaborada en la interfaz de administración basada en la web”, dijo Cisco en una alerta publicada el 1 de marzo de 2023.
También se corrigió por parte de la empresa una vulnerabilidad de denegación de servicio (DoS) de alta gravedad que afecta al mismo conjunto de dispositivos, así como al teléfono de conferencia IP unificado de Cisco modelo 8831 y la serie de teléfonos IP unificados modelo 7900.
CVE-2023-20079 (puntuación CVSS: 7,5), también resultó con una validación insuficiente de la entrada proporcionada por el usuario en la interfaz de gestión basada en web y que podría ser aprovechada por un adversario para causar una condición de denegación de servicio (DoS).
Si bien Cisco ha lanzado Cisco Multiplatform Firmware versión 11.3.7SR1 para resolver CVE-2023-20078, la compañía dijo que no planea arreglar CVE-2023-20079, ya que ambos modelos de teléfono de conferencia IP unificado han entrado en el final de su vida útil (EoL).
La compañía dijo que no tiene conocimiento de ningún intento de explotación maliciosa dirigida a la falla. También dijo que las fallas fueron descubiertas durante las pruebas de seguridad interna.
El aviso llega después de que Aruba Networks, una subsidiaria de Hewlett Packard Enterprise, lanzó una actualización de ArubaOS para remediar múltiples fallas de inyección de comandos no autenticadas y desbordamiento de búfer basado en pila (desde CVE-2023-22747 hasta CVE-2023-22752, puntuaciones CVSS: 9.8) que podrían resultar en la ejecución de código.
