首頁 -> 安全研究

安全研究

安全漏洞
Cisco IP Phones web server 輸入驗證錯誤漏洞(CVE-2020-3161)

發布日期:2020-04-15
更新日期:2020-04-23

受影響系統:
Cisco IP Phone 8851 11.0(0.1)
Cisco IP Phone 8851
Cisco IP Phone 8800
Cisco IP Phone 7960
Cisco IP Phone 7940
Cisco IP Phone 7921
Cisco IP Phone 7900 Series
Cisco IP Phone 7800
Cisco IP Phone 6800
描述:
CVE(CAN) ID: CVE-2020-3161

Cisco IP Phones是思科網絡電話產品。

Cisco IP Phones產品的 web server中存在輸入驗證錯誤漏洞,由于沒有對HTTP請求進行正確的輸入驗證。通過借助特制HTTP請求,攻擊者可利用該漏洞以root權限執行代碼或造成拒絕服務。

<*來源:Cisco
  *>

建議:
臨時解決方法:

如果您不能立刻安裝補丁或者升級,NSFOCUS建議您采取以下措施以降低威脅:

*禁用 IP 電話上的 web 訪問權限。

默認情況下,Web訪問是禁用的。 管理員可以從Cisco Unified Communications Manager中檢查Web訪問配置:選擇Device > Phone > Select a Phone,然后檢查Web 訪問是否設置為“啟用”或“禁用”。 如果將其設置為“禁用”,則IP電話不會受到攻擊。

廠商補?。?br />
Cisco
-----
目前廠商已經發布了升級補丁以修復這個安全問題,請到廠商的主頁下載升級補丁,下載鏈接:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-voip-phones-rce-dos-rB6EeRXs

瀏覽次數:1
嚴重程度:0(網友投票)
本安全漏洞由綠盟科技翻譯整理,版權所有,未經許可,不得轉載
綠盟科技給您安全的保障
浙江快乐彩网上投注