Cisco a déployé mercredi des mises à jour de sécurité pour corriger une faille critique affectant ses produits des séries IP Phone 6800, 7800, 7900 et 8800.
La vulnérabilité, identifiée comme CVE-2023-20078, est notée 9,8 sur 10 sur le système de notation CVSS et est décrite comme un bogue d’injection de commande dans l’interface de gestion Web résultant d’une validation insuffisante des entrées fournies par l’utilisateur.
L’exploitation réussie du bogue pourrait permettre à un attaquant distant non authentifié d’injecter des commandes arbitraires qui sont exécutées avec les privilèges les plus élevés sur le système d’exploitation sous-jacent.
« Un attaquant pourrait exploiter cette vulnérabilité en envoyant une requête spécialement conçue à l’interface de gestion Web », a déclaré Cisco dans une alerte publiée le 1er mars 2023.
La société a également corrigé une vulnérabilité de déni de service (DoS) de haute gravité affectant le même ensemble d’appareils, ainsi que les téléphones Cisco Unified IP Conference Phone 8831 et Unified IP Phone 7900 Series.
CVE-2023-20079 (score CVSS : 7,5), également le résultat d’une validation insuffisante des entrées fournies par l’utilisateur dans l’interface de gestion Web, pourrait être abusé par un adversaire pour provoquer une condition DoS.
Alors que Cisco a publié la version 11.3.7SR1 du micrologiciel multiplateforme Cisco pour résoudre CVE-2023-20078, la société a déclaré qu’elle ne prévoyait pas de corriger CVE-2023-20079, car les deux modèles de téléphones de conférence IP unifiés sont entrés en fin de vie ( fin de vie).
La société a déclaré qu’elle n’était au courant d’aucune tentative d’exploitation malveillante ciblant la faille. Il a également déclaré que les failles avaient été découvertes lors de tests de sécurité internes.
L’avis intervient alors qu’Aruba Networks, une filiale de Hewlett Packard Enterprise, a publié une mise à jour d’ArubaOS pour corriger plusieurs défauts d’injection de commandes non authentifiées et de débordement de tampon basé sur la pile (de CVE-2023-22747 à CVE-2023-22752, scores CVSS : 9,8 ) pouvant entraîner l’exécution de code.