Cisco pada hari Rabu meluncurkan pembaruan keamanan untuk mengatasi cacat kritis yang berdampak pada produk IP Phone 6800, 7800, 7900, dan 8800 Series-nya.
Kerentanan, dilacak sebagai CVE-2023-20078, diberi peringkat 9,8 dari 10 pada sistem penilaian CVSS dan digambarkan sebagai bug injeksi perintah di antarmuka manajemen berbasis web yang timbul karena validasi input yang disediakan pengguna yang tidak memadai.
Eksploitasi bug yang berhasil dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk menyuntikkan perintah sewenang-wenang yang dijalankan dengan hak istimewa tertinggi pada sistem operasi yang mendasarinya.
"Penyerang dapat mengeksploitasi kerentanan ini dengan mengirimkan permintaan yang dibuat ke antarmuka manajemen berbasis web," kata Cisco dalam peringatan yang diterbitkan pada 1 Maret 2023.
Juga ditambal oleh perusahaan adalah kerentanan penolakan layanan (DoS) tingkat keparahan tinggi yang memengaruhi set perangkat yang sama, serta Cisco Unified IP Conference Phone 8831 dan Unified IP Phone 7900 Series.
CVE-2023-20079 (skor CVSS: 7.5), juga merupakan hasil dari validasi yang tidak memadai dari input yang disediakan pengguna dalam antarmuka manajemen berbasis web, dapat disalahgunakan oleh musuh untuk menyebabkan kondisi DoS.
Sementara Cisco telah merilis Cisco Multiplatform Firmware versi 11.3.7SR1 untuk menyelesaikan CVE-2023-20078, perusahaan mengatakan tidak berencana untuk memperbaiki CVE-2023-20079, karena kedua model Unified IP Conference Phone telah memasuki akhir masa pakai (EoL).
Perusahaan mengatakan tidak mengetahui adanya upaya eksploitasi jahat yang menargetkan cacat tersebut. Ia juga mengatakan kekurangan itu ditemukan selama pengujian keamanan internal.
Penasihat datang ketika Aruba Networks, anak perusahaan Hewlett Packard Enterprise, merilis pembaruan ke ArubaOS untuk memulihkan beberapa injeksi perintah yang tidak diautentikasi dan kelemahan buffer overflow berbasis tumpukan (dari CVE-2023-22747 hingga CVE-2023-22752, skor CVSS: 9.8) yang dapat mengakibatkan eksekusi kode.