Cisco IP Telefonları Kusuru, XSS ve Enjeksiyon Saldırılarına İzin Veriyor


Cisco IP Telefonları Kusuru

Cisco, bir XSS ve bir HTML enjeksiyon güvenlik açığı olmak üzere iki güvenlik açığı keşfettiklerini belirten bir güvenlik danışma belgesi yayınladı.

Bu güvenlik açıkları, Cisco Küçük İşletme IP Telefonlarının SPA500 serisinde mevcuttu.

Bu güvenlik açığı, Cisco Small Business SPA500 Serisi IP Telefonlarının web tabanlı yönetim arabiriminde kullanıcı tarafından sağlanan ve bir saldırganın yararlanarak hazırlanmış bir bağlantı oluşturarak arabirimde rasgele komut dosyası yürütmesine neden olan girdilerin yetersiz doğrulanması nedeniyle ortaya çıkar.

Bu güvenlik açığı için CVSS Puanı 6.1 olarak verilmiştir (Orta)

Bu, Cisco Small Business SPA500 Serisi IP Telefonlarının web tabanlı yönetim arabiriminde kullanıcı tarafından sağlanan girdilerin yetersiz şekilde temizlenmesi nedeniyle var olan ve web sayfasında potansiyel değişikliğe neden olan ve kullanıcıyı kötü amaçlı web sitelerine yönlendiren hazırlanmış bir bağlantı oluşturarak bir tehdit aktörü tarafından yararlanılabilen bir HTML enjeksiyon güvenlik açığıdır.

Ayrıca bu, diğer istemci tarafı saldırıları gerçekleştirmek için de kullanılabilir. Bu güvenlik açığı için CVSS Puanı 5.8(Orta)

Cisco, bu güvenlik açıklarını düzeltmek için herhangi bir geçici çözüm bulunmadığını doğruladı. Buna ek olarak Cisco, Cisco Small Business SPA500 Serisi IP Telefonları 13 Ağustos 2018’de kullanım ömrünün sonuna geldiği için bu güvenlik açıkları için güvenlik yamaları yayınlamayacaklarını belirtti.

Bu ürünlerin kullanıcılarının, bu güvenlik açıklarını önlemek için diğer alternatif Cisco ürünlerine geçmeleri önerilir.

En son Siber Güvenlik Haberleri ile güncel kalın; bizi takip edin Google Haberleri, Linkedin, twitter, Ve Facebook.





Source link