02 mars 2023Ravie LakshmananSécurité d’entreprise / Sécurité réseau

Téléphone Ip Cisco

Cisco a déployé mercredi mises à jour de sécurité pour corriger une faille critique affectant ses produits IP Phone 6800, 7800, 7900 et 8800 Series.

La vulnérabilité, identifiée comme CVE-2023-20078, est notée 9,8 sur 10 sur le système de notation CVSS et est décrite comme un bogue d’injection de commande dans l’interface de gestion Web résultant d’une validation insuffisante des entrées fournies par l’utilisateur.

L’exploitation réussie du bogue pourrait permettre à un attaquant distant non authentifié d’injecter des commandes arbitraires qui sont exécutées avec les privilèges les plus élevés sur le système d’exploitation sous-jacent.

« Un attaquant pourrait exploiter cette vulnérabilité en envoyant une requête spécialement conçue à l’interface de gestion Web », a déclaré Cisco. a dit dans une alerte publiée le 1er mars 2023.

Publicité

La société a également corrigé une vulnérabilité de déni de service (DoS) de haute gravité affectant le même ensemble d’appareils, ainsi que les téléphones Cisco Unified IP Conference Phone 8831 et Unified IP Phone 7900 Series.

CVE-2023-20079 (score CVSS : 7,5), également le résultat d’une validation insuffisante des entrées fournies par l’utilisateur dans l’interface de gestion Web, pourrait être abusé par un adversaire pour provoquer une condition DoS.

Alors que Cisco a publié la version 11.3.7SR1 du micrologiciel multiplateforme Cisco pour résoudre CVE-2023-20078, la société a déclaré qu’elle ne prévoyait pas de corriger CVE-2023-20079, car les deux modèles de téléphones de conférence IP unifiés sont entrés en fin de vie ( fin de vie).

La société a déclaré qu’elle n’était au courant d’aucune tentative d’exploitation malveillante ciblant la faille. Il a également déclaré que les failles avaient été découvertes lors de tests de sécurité internes.

L’avis intervient alors qu’Aruba Networks, une filiale de Hewlett Packard Enterprise, a publié une mise à jour d’ArubaOS pour remédier plusieurs injections de commandes non authentifiées et failles de débordement de tampon basées sur la pile (de CVE-2023-22747 à CVE-2023-22752, scores CVSS : 9,8) pouvant entraîner l’exécution de code.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


Rate this post
Publicité
Article précédentL’augmentation des ventes de PlayStation 5 fait de Sony le plus gros client d’AMD
Article suivantThe Walking Dead Saison 9, épisode 5 tire des éléments directement d’Evil Dead
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici