Cisco Teléfonos IP se refiere a una línea de dispositivos telefónicos que utilizan la tecnología de Protocolo de Internet (IP) para realizar llamadas telefónicas. Cisco es una empresa reconocida de tecnología de la información que ofrece una amplia gama de productos y soluciones, incluidos los sistemas de telefonía IP. Al ser un destacado proveedor de soluciones de redes y comunicaciones, se ha enfrentado a varias vulnerabilidades en sus productos a lo largo de los años.
En este caso múltiples vulnerabilidades en la interfaz de administración basada en la web de los teléfonos IP de la serie SPA500 de Cisco Small Business podrían permitir que un atacante remoto no autenticado realice ataques de secuencias de comandos entre sitios (XSS) o inyección de HTML.
CVE-2023-20181: Vulnerabilidad XSS de los teléfonos IP de la serie SPA500 de Cisco Small Business.
Esta vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario por la interfaz de administración basada en web del software afectado. Un atacante podría explotar esta vulnerabilidad al persuadir a un usuario para que haga clic en un enlace manipulado. Una explotación exitosa podría permitir que el atacante ejecute un código de secuencia de comandos arbitrario en el contexto de la interfaz afectada o acceda a información confidencial basada en el navegador.
CVE-2023-20218: vulnerabilidad de inyección HTML de los teléfonos IP de la serie SPA500 de Cisco Small Business.
Esta vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario por la interfaz de administración basada en web del software afectado. Un atacante podría explotar esta vulnerabilidad al persuadir a un usuario para que haga clic en un enlace manipulado. Una explotación exitosa podría permitir que el atacante altere el contenido de una página web para redirigir a un usuario a sitios web potencialmente maliciosos.
Productos Afectados.
En el momento de la publicación, estas vulnerabilidades afectaban a todas las versiones de software que se ejecutaban en los teléfonos IP de la serie SPA500 de Cisco Small Business.
Solución.
Cisco no ha publicado ni publicará actualizaciones de software para abordar las vulnerabilidades que se describen en este aviso. Los teléfonos IP de la serie SPA500 de Cisco Small Business han entrado en el proceso de fin de vida útil.
Recomendaciones.
Se recomienda a los usuarios que consulten los avisos de fin de vida útil de estos productos.
Al considerar la migración de un dispositivo, se recomienda a los usuarios que consulten regularmente los avisos de los productos de Cisco.
Referencias:
- https://www.cisco.com/c/en/us/products/collateral/collaboration-endpoints/small-business-spa500-series-ip-phones/eos-eol-notice-c51-741207.html
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-spa-web-multi-7kvPmu2F
- https://sec.cloudapps.cisco.com/security/center/publicationListing.x