Kritische Schwachstellen in Cisco SPA300 und SPA500 IP-Telefonen

Table of Contents

Cisco hat mehrere kritische Schwachstellen in der web-basierten Verwaltungsoberfläche der Cisco Small Business SPA300 und SPA500 Serien IP-Telefone entdeckt. Die Schwachstellen ermöglichen es Angreifern, beliebige Befehle auf dem zugrunde liegenden Betriebssystem auszuführen oder einen Denial-of-Service (DoS) Zustand zu verursachen.

Details der Schwachstellen

  • CVE-2024-20450, CVE-2024-20452 und CVE-2024-20454: Erlauben einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebiger Befehle mit Root-Rechten durch fehlerhafte Überprüfung eingehender HTTP-Pakete (CVSS-Score: 9.8).
  • CVE-2024-20451 und CVE-2024-20453: Erlauben einem entfernten, nicht authentifizierten Angreifer einen DoS-Zustand herbeizuführen durch fehlerhafte Überprüfung von HTTP-Paketen (CVSS-Score: 7.5).

Alle Softwareversionen der Cisco Small Business SPA300 und SPA500 Serien IP-Telefone sind betroffen. Cisco hat keine Softwareupdates veröffentlicht und plant auch keine zukünftigen Updates zur Behebung dieser Schwachstellen. Es gibt keine verfügbaren Workarounds. Denn betroffenen IP-Telefone befinden sich im End-of-Life-Prozess. Kunden wird empfohlen, auf aktuelle Produkte zu migrieren und regelmäßig die Sicherheitsadvisories von Cisco zu konsultieren. Weitere Informationen finden Sie unter dem Cisco Security Advisory.

Related Posts

Privilege Escalation Sicherheitslücke in Microsoft Dynamics 365

Microsoft hat am 31.7.24 die kritische Sicherheitslücke CVE-2024-38182 in Microsoft Dynamics 365 bekanntgegeben, die es einem unauthentifizierten Angreifer ermöglicht, über ein Netzwerk erhöhte Rechte zu erlangen. Diese Schwachstelle erfordert keine Aktion seitens der Kunden, da Microsoft bereits einen offiziellen Fix veröffentlicht hat.

Read More

Sicherheitslücke bei Digital Video Recordern von TVT

Eine schwerwiegende Sicherheitslücke wurde in mehreren Digital Video Recorder (DVR)-Geräten entdeckt, darunter TVT DVR-Modelle wie TD-2104TS-CL und TD-2108TS-HP, sowie Geräte von Provision-ISR und AVISION. DVRs sind Geräte zur Aufzeichnung und Speicherung von Videodaten, häufig in Überwachungssystemen verwendet.

Read More

Linksys-Router verschicken Login Daten unverschlüsselt in die USA

Laut einem Bericht von test-ankoop.be weisen Linksys Mesh-Router Velop Pro WiFi 6E und Pro 7 eine gravierende Sicherheitslücke auf. Während der Installation senden diese Geräte sensible Daten wie WLAN-Logins und Passwörter unsicher an Server in den USA, was potenziell Hackerangriffe ermöglicht.

Read More