Cisco telefon bağdaştırıcılarında kritik RCE güvenlik açığı, güncelleme yok (CVE-2023-20126)


Cisco, Cisco SPA112 2 Bağlantı Noktalı Telefon Adaptörlerinin web tabanlı yönetim arayüzünde kritik bir güvenlik açığının (CVE-2023-20126) varlığını ortaya çıkardı.

CVE-2023-20126

Adaptörler, yükseltmeye ihtiyaç duymadan analog telefonları VoIP ağlarına entegre etmek için yaygın olarak kullanılır.

Güvenlik açığı hakkında (CVE-2023-20126)

CVE-2023-20126, önceden kimlik doğrulaması yapılmadan kullanılabilir.

“Bu güvenlik açığı, bellenim yükseltme işlevindeki eksik bir kimlik doğrulama sürecinden kaynaklanmaktadır. Bir saldırgan, etkilenen bir cihazı hazırlanmış bir sabit yazılım sürümüne yükselterek bu güvenlik açığından yararlanabilir,” diye açıklıyor Cisco’nun güvenlik danışma belgesi.

“Başarılı bir istismar, saldırganın etkilenen cihazda tam ayrıcalıklarla rasgele kod yürütmesine izin verebilir.”

Güvenlik açığı özel olarak bildirildi ve vahşi ortamda istismar edildiğine dair hiçbir gösterge yok.

iyileştirme

Güvenlik açığı bulunan bağdaştırıcı artık desteklenmiyor, yani Cisco bu güvenlik açığını gidermek için ürün yazılımı güncellemeleri yayınlamayacak.

Hiçbir düzeltme ve geçici çözüm bulunmadığından Cisco, müşterilerini daha yeni bir cihaza geçmeye çağırıyor.

Güvenlik danışma belgesinde, kullanıcıların bir Cisco ATA 190 Serisi Analog Telefon Adaptörüne geçmesi gerektiğini söylüyor, ancak Cisco SPA112 2 Bağlantı Noktalı Telefon Adaptörü için EOL belgesi, uygun bir yedek olarak Cisco ATA 191 Serisi Analog Telefon Adaptörünü gösteriyor.



Source link