Kritische Schwachstellen in Cisco SPA300 und SPA500 IP-Telefonen
Table of Contents
Cisco hat mehrere kritische Schwachstellen in der web-basierten Verwaltungsoberfläche der Cisco Small Business SPA300 und SPA500 Serien IP-Telefone entdeckt. Die Schwachstellen ermöglichen es Angreifern, beliebige Befehle auf dem zugrunde liegenden Betriebssystem auszuführen oder einen Denial-of-Service (DoS) Zustand zu verursachen.
Details der Schwachstellen
- CVE-2024-20450, CVE-2024-20452 und CVE-2024-20454: Erlauben einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebiger Befehle mit Root-Rechten durch fehlerhafte Überprüfung eingehender HTTP-Pakete (CVSS-Score: 9.8).
- CVE-2024-20451 und CVE-2024-20453: Erlauben einem entfernten, nicht authentifizierten Angreifer einen DoS-Zustand herbeizuführen durch fehlerhafte Überprüfung von HTTP-Paketen (CVSS-Score: 7.5).
Alle Softwareversionen der Cisco Small Business SPA300 und SPA500 Serien IP-Telefone sind betroffen. Cisco hat keine Softwareupdates veröffentlicht und plant auch keine zukünftigen Updates zur Behebung dieser Schwachstellen. Es gibt keine verfügbaren Workarounds. Denn betroffenen IP-Telefone befinden sich im End-of-Life-Prozess. Kunden wird empfohlen, auf aktuelle Produkte zu migrieren und regelmäßig die Sicherheitsadvisories von Cisco zu konsultieren. Weitere Informationen finden Sie unter dem Cisco Security Advisory.