Cisco vá lỗ hổng Web UI RCE nghiêm trọng trong nhiều điện thoại IP 

Cisco vừa vá 2 lỗ hổng nghiêm trọng trong Web UI của nhiều thiết bị điện thoại IP.  

Lỗ hổng đầu tiên là CVE-2023-20078 (điểm CVSS 9,8) – Là lỗ hổng thực thi mã từ xa cho phép tin tặc chèn và thực thi bất kỳ lệnh nào với quyền root. Tin tặc có thể khai thác lỗ hổng này bằng cách gửi một yêu cầu đặc biệt tới giao diện quản lý trên nền web. Lỗ hổng ảnh hưởng đến các sản phẩm IP Phone 6800, 7800 và 8800 với firmware đa nền tảng.  

Lỗ hổng thứ 2 là CVE-2023-20079 (điểm CVSS: 7,5), một lỗi  xác thực không đầy đủ thông tin đầu vào do người dùng cung cấp trong Web UI, có thể bị tin tặc lợi dụng để tấn công từ chối dịch vụ. Lỗ hổng ảnh hưởng đến Cisco Unified IP Conference Phone 8831, Cisco Unified IP Conference Phone 8831 với firmware đa nền tảng và các Cisco Unified IP Phone 7900 Series đã hết tuổi thọ (EoL). 

Cisco đã phát hành bản vá để khắc phục lỗ hổng CVE-2023-20078, hãng cũng đã nói về việc không phát hành bản vá cho CVE-2023-20079 do Cisco Unified IP Phone 7900 Series và Cisco Unified IP Conference Phone 8831 đã hết tuổi thọ (EoL). 

Cisco cho biết họ không phát hiện lỗ hổng nào trong 2 lỗ hổng trên bị khai thác trong các cuộc tấn công độc hại. 

Tuần này, Cisco cũng đã phát hành các bản cập nhật phần mềm để vá các lỗ hổng ở mức độ nghiêm trọng trung bình trong Ứng dụng Webex dành cho Web, Finesse và Prime Infrastructure and Evolved Programmable Network (EPN) Manager. 

Nguồn: Thehackernews.com, securityweek.com