情資內容

摘要: Cisco IP Phone的Web伺服器中的漏洞允許未經身份驗證的遠端攻擊者以root權限執行程式碼，導致受影響的IP電話重新載入，從而導致阻斷服務（DoS）。 概述: 該漏洞是由於缺乏對HTTP請求的輸入資訊進行驗證所致。攻擊者可以經由向具此漏洞設備的Web伺服器發送特製的HTTP請求來利用此漏洞。成功的利用可讓攻擊者以root特權遠端執行程式碼，導致受影響的IP Phone重新載入，從而導致阻斷服務（DoS）。 目前已有攻擊程式碼出現，請參考https://www.exploit-db.com/exploits/48342 影響平台 IP Phone 7811, 7821, 7841, and 7861 Desktop Phones IP Phone 8811, 8841, 8845, 8851, 8861, and 8865 Desktop Phones Unified IP Conference Phone 8831 Wireless IP Phone 8821 and 8821-EX 因應對策or建議措施 請評估後於官方網站下載升級至下列版本 IP Phone 7811, 7821, 7841, 7861 Desktop Phones:11.7(1) IP Phone 8811, 8841, 8845, 8851, 8861, 8865 Desktop Phones:11.7(1) Unified IP Conference Phone 8831:10.3(1)SR6 Wireless IP Phone 8821, 8821-EX :11.0(5)SR3 CVSS向量: CVE-2020-3161 使用版本：CVSS 3.0 分析分數：9.8 分析向量：CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 參考連結： 1.Cisco https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-voip-phones-rce-dos-rB6EeRXs 2.Exploit DB https://www.exploit-db.com/exploits/48342 建議措施： 參考資料： 影響平台：