Cisco ha publicado un aviso de seguridad sobre vulnerabilidades en sus teléfonos Desk Phone 9800 Series, IP Phone 7800 y 8800 Series, y Video Phone 8875 que ejecutan Cisco Session Initiation Protocol (SIP) Software. Estas fallas permiten a atacantes remotos no autenticados provocar condiciones de denegación de servicio (DoS) o ataques de cross-site scripting (XSS) a través de la interfaz web, afectando equipos registrados en Cisco Unified Communications Manager (CUCM) con Web Access activado.
CVE y severidad
| CVE | CVSS 3.1 | Severidad | Impacto |
|---|---|---|---|
| CVE-2025-20350 | 7.5 | Alta | Desbordamiento de búfer que puede causar reinicio del dispositivo y DoS |
| CVE-2025-20351 | 6.1 | Media | XSS vía interfaz web con interacción del usuario |
Productos afectados
| Fabricante | Producto | Serie/Modelo | Software afectado |
|---|---|---|---|
| Cisco | Desk Phone | 9800 Series | Cisco SIP Software versiones específicas, no multiplataforma |
| Cisco | IP Phone | 7800 y 8800 Series | Cisco SIP Software versiones específicas, no multiplataforma |
| Cisco | Video Phone | 8875 | Cisco SIP Software versiones específicas, no multiplataforma |
Solución
Actualizar a versiones corregidas del software:
- SIP Cisco 3.3(1) para Desk Phone 9800 y Video Phone 8875
- 14.3(1)SR2 para IP Phone 7800/8800
- 11.0(6)SR7 para IP Phone 8821.
Recomendaciones
En caso de no poder actualizar de inmediato, se recomienda deshabilitar la función Web Access desde la administración de CUCM o mediante la herramienta Bulk Administration Tool como medida de mitigación.