Cisco, bazı IP telefonlarında çalışan birden çok üretici yazılımı sürümü için yazılım düzeltmeleri yayınladı.
Şirketin danışmanlığı, altı ürünü etkileyen iki güvenlik açığını kapsıyor.
İlk güvenlik açığı CVE-2023-20078’dir (CVSS puanı 9.8) ve şirketin çok platformlu sabit yazılımını çalıştıran 6800 serisi, 7800 serisi ve 8800 serisi telefonları etkiler.
Kullanıcı tarafından sağlanan girdinin yetersiz doğrulaması, bir saldırganın telefonun web tabanlı yönetim arayüzüne hazırlanmış bir istek göndermesine olanak tanır.
Başarılı bir açıktan yararlanma, kimliği doğrulanmamış bir uzak saldırganın root ayrıcalığıyla rasgele işletim sistemi komutları yürütmesine olanak tanır.
CVE-2023-20079 (CVSS puanı 7,5), aynı telefonları ve ayrıca çoklu platform ürün yazılımına sahip United IP konferans telefonu 7900 serisini, 8831 serisini ve 8831’i etkiler.
Ayrıca, kimliği doğrulanmamış bir uzak saldırganın bir aygıtı yeniden yüklemeye zorlamasına ve hizmet reddine yol açmasına izin veren web tabanlı yönetim arayüzündeki yetersiz giriş doğrulamasına da bağlıdır.
Güvenlik açıkları, 11.3.7SR1’den önceki çok platformlu üretici yazılımı sürümlerini etkiler.
Ancak, etkilenen United IP konferans telefonlarının kullanım ömrü çoktan dolmuştur ve yama uygulanmayacaktır.
Güvenlik açıkları, dahili güvenlik testi sırasında keşfedildi.