Múltiples vulnerabilidades en la interfaz de administración basada en web de ciertos teléfonos IP de Cisco podrían permitir que un atacante remoto no autenticado ejecute código arbitrario o provoque una condición de denegación de servicio (DoS).

CVE-2023-20078 (9.8): vulnerabilidad de inyección de comandos de los teléfonos IP de las series 6800, 7800 y 8800 de Cisco.
Una vulnerabilidad en la interfaz de administración basada en web de los teléfonos multiplataforma Cisco IP Phone 6800, 7800 y 8800 Series podría permitir que un atacante remoto no autenticado inyecte comandos arbitrarios que se ejecutan con privilegios de root.

CVE-2023-20079 (9.8): Vulnerabilidad de denegación de servicio de los teléfonos IP de las series 6800, 7800, 7900 y 8800 de Cisco.
Una vulnerabilidad en la interfaz de administración basada en la web de los teléfonos multiplataforma Cisco IP Phone 6800, 7800 y 8800 Series, así como en los teléfonos Cisco Unified IP Conference Phone 8831 y Unified IP Phone 7900 Series, podría permitir que un atacante remoto no autenticado provoque que un dispositivo afectado se vuelva a cargar, lo que resultaría en una condición de denegación de servicio (DoS).

Afectados por CVE-2023-20078 y CVE-2023-20079:

• IP Phone 6800 Series with Multiplatform Firmware
• IP Phone 7800 Series with Multiplatform Firmware
• IP Phone 8800 Series with Multiplatform Firmware

Afectados por CVE-2023-20079:

• Unified IP Conference Phone 8831
• Unified IP Conference Phone 8831 with Multiplatform Firmware
• Unified IP Phone 7900 Series

Cisco ha lanzado actualizaciones de software que abordan estas vulnerabilidades. No hay soluciones alternativas que aborden estas vulnerabilidades.

Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es