Cisco SPA112 2 Bağlantı Noktalı Telefon Adaptörlerinin, kötü amaçlı bir üretici yazılımı yükseltmesi yoluyla rastgele kod yürütmeye karşı savunmasız olduğu bildirilmiştir. Cisco bu güvenlik açığını Kritik olarak sınıflandırdı ve CVSS Skoru 9,8 olarak belirlendi.
CVE-2023-20126 – Bağlantı Noktası Telefon Adaptörleri RCE Hatası
Kötü niyetli aktörler, isteğe bağlı kod yürütmek için Cisco SPA 112 2 Bağlantı Noktalı Telefon adaptörlerindeki Cisco Web tabanlı yönetim arabiriminden yararlanabilir.
Bu güvenlik açığı, bellenim yükseltme işlevinde eksik bir kimlik doğrulaması nedeniyle ortaya çıkmıştır. Tehdit aktörleri, etkilenen cihazı kötü amaçlı ürün yazılımı ile yükselterek bu güvenlik açığından yararlanabilir.
Başarılı yararlanma, Cisco bağdaştırıcısında rasgele kod yürütülmesiyle sonuçlanır.
Cisco, ürün (Cisco SPA112 2 Bağlantı Noktalı Telefon Adaptörleri) Haziran 2020’de Kullanım Ömrü Sonuna ulaştığı için bu sorunla ilgili bir ürün yazılımı güncellemesi yayınlamayacaklarını söyledi.
Bu sorunu çözmek için Cisco, müşterilerinden Cisco ATA 190 Serisi Analog Telefon Adaptörüne yükseltmelerini istedi.
Bu ürünler için son destek tarihi 31 Mayıs 2025 olarak belirtildi. Satış Sonu ve Kullanım Ömrü Sonu duyurularında bu bağdaştırıcı için ürün taşıma seçeneklerinden bahsettiler ve bu ürünle ilgili hizmetleri sonlandırmak için kilometre taşlarını belirttiler. .
Etkilenen Ürünler
- Cisco SPA112 2 Bağlantı Noktalı Telefon Adaptörlerinin tüm üretici yazılımı sürümleri bu sorundan etkilenir.
- Cisco, müşterilerini uyarmak için 3 Mayıs 2023’te bu sorunla ilgili güvenlik danışma belgesini kamuoyuna yayınladı.
Güvenlik Düzeltme Eki’ni Sisteminize Uygulamakta Zorlanıyor Musunuz? –
All-in-One Patch Manager Plus’ı Deneyin