Cisco ha publicado 1 aviso de seguridad que contempla 3 vulnerabilidades. Estas se clasifican como 2 de severidad Alta y 1 de severidad Media. Dichas vulnerabilidades afectan a los siguientes productos de Cisco:
CVE-2024-20376 [CVSS: 7.5]
Vulnerabilidad DoS del teléfono IP de Cisco
Una vulnerabilidad en la interfaz de administración basada en web del firmware del teléfono IP de Cisco podría permitir que un atacante remoto no autenticado provoque la recarga de un dispositivo afectado, lo que resultaría en una condición DoS.
Esta vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud diseñada a la interfaz de administración basada en web de un dispositivo afectado. Un exploit exitoso podría permitir al atacante hacer que el dispositivo afectado se recargue.
CVE-2024-20378 [CVSS: 7.5]
Vulnerabilidad de divulgación de información del teléfono IP de Cisco
Una vulnerabilidad en la interfaz de administración basada en web del firmware del teléfono IP de Cisco podría permitir que un atacante remoto no autenticado recupere información confidencial de un dispositivo afectado.
Esta vulnerabilidad se debe a la falta de autenticación para puntos finales específicos de la interfaz de administración basada en web en un dispositivo afectado. Un atacante podría aprovechar esta vulnerabilidad conectándose al dispositivo afectado. Un exploit exitoso podría permitir al atacante obtener acceso no autorizado al dispositivo, lo que permitiría registrar las credenciales del usuario y el tráfico hacia y desde el dispositivo afectado, incluidas las llamadas VoIP que podrían reproducirse
CVE-2024-20357 [CVSS: 5.3]
Vulnerabilidad de acceso no autorizado al teléfono IP de Cisco
Una vulnerabilidad en el servicio XML del firmware del teléfono IP de Cisco podría permitir que un atacante remoto no autenticado inicie llamadas telefónicas en un dispositivo afectado.
Esta vulnerabilidad existe porque la verificación de límites no se produce al analizar solicitudes XML. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud XML diseñada a un dispositivo afectado. Un exploit exitoso podría permitir al atacante iniciar llamadas o reproducir sonidos en el dispositivo.
Nota: El servicio XML está deshabilitado de forma predeterminada
Se recomienda lo siguiente:
El listado de las CVE se adjunta a continuación:
https://sec.cloudapps.cisco.com/security/c... |
Producto | Versión |
---|---|
Cisco Multiplatform Firmware |
12.0.4 y anteriores |
Cisco PhoneOS |
2.3.1.001 y anteriores |