Cisco hat mehrere kritische Schwachstellen in der web-basierten Verwaltungsoberfläche der Cisco Small Business SPA300 und SPA500 Serien IP-Telefone entdeckt. Die Schwachstellen ermöglichen es Angreifern, beliebige Befehle auf dem zugrunde liegenden Betriebssystem auszuführen oder einen Denial-of-Service (DoS) Zustand zu verursachen.
Details der Schwachstellen
- CVE-2024-20450, CVE-2024-20452 und CVE-2024-20454: Erlauben einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebiger Befehle mit Root-Rechten durch fehlerhafte Überprüfung eingehender HTTP-Pakete (CVSS-Score: 9.8).
- CVE-2024-20451 und CVE-2024-20453: Erlauben einem entfernten, nicht authentifizierten Angreifer einen DoS-Zustand herbeizuführen durch fehlerhafte Überprüfung von HTTP-Paketen (CVSS-Score: 7.5).
Alle Softwareversionen der Cisco Small Business SPA300 und SPA500 Serien IP-Telefone sind betroffen. Cisco hat keine Softwareupdates veröffentlicht und plant auch keine zukünftigen Updates zur Behebung dieser Schwachstellen. Es gibt keine verfügbaren Workarounds. Denn betroffenen IP-Telefone befinden sich im End-of-Life-Prozess. Kunden wird empfohlen, auf aktuelle Produkte zu migrieren und regelmäßig die Sicherheitsadvisories von Cisco zu konsultieren. Weitere Informationen finden Sie unter dem Cisco Security Advisory.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: